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FOREWORD 


前 言 


Internet 不 仅 深刻 地 改变 了 整个 本 行业 的 格局 和 计算 模式 ,也 深刻 改变 了 
经 商 的 方式 和 人 们 的 生活 方式 ,网 络 已 经 成 为 整个 基础 设施 中 的 重要 部 分 。 
Internet 也 叫 网 际 网 ,也 就 是 网 络 和 网 络 互联 。 因 此 ,当前 的 网 络 技术 不 
仅仅 是 Socket 编程 这 样 点 对 点 的 通信 技术 和 Windows Server 下 的 Web 服务 器 配 
置 这 样 的 系统 管理 技术 。 从 TP 的 视角 来 看 ,所 谓 网 络 技术 实际 上 包括 计 
算 机 网 络 原 理 、 计 算 机 网 络 设计 、` 计 算 机 网 络 工程 .计算 机 网 络 协议 .计算 机 
网 络 互联 .计算 机 网 络 应 用 等 几 个 方面 的 范畴 。 一 个 网 络 的 互联 是 跨越 不 同 
网 络 层次 的 一 个 过 程 。 因 此 ,基于 互联 网 的 网 络 技术 的 设计 实现 、 管 理 和 排 
错 ,需要 自 底 向 上 的 多 层次 知识 。 
作者 从 20 世纪 9 年 代 初期 就 开始 学 习 和 从 事 TA 网 络 技术 ,工作 涉及 
局 域 网 、 园 区 网 、 城 域 网 、 跨 区 域 网 的 设计 、 实 现 和 管理 的 全 过 程 ,经 历 了 从 局 
域 网 到 互联 网 那 激 动人 心 的 变化 。 又 有 多 年 大 型 网 络 服务 器 的 管理 经 验 , 积 
累 了 丰富 的 网 络 技术 实践 经 验 。 作 者 多 年 的 学 习 、 管 理 . 开 发 和 应 用 , 深 感 目 
前 计算 机 网 络 技术 方面 的 书籍 往往 只 介绍 一 个 方面 的 技术 ,顾此失彼 的 多 ， 
导致 多 层 结构 的 网 络 技术 被 支离破碎 地 介绍 ,很 多 技术 方面 的 介绍 流 于 表 
面 ,学 习 者 很 难 透 彻 了 解 。 理 论 不 深刻 ,实践 不 实际 的 情况 非常 普遍 。 同 时 ， 
很 多 网 络 厂商 又 从 各 自 的 市 场 利益 出 发 ,积极 推广 相关 的 认证 和 课程 。 这 些 
课程 对 网 络 技术 的 应 用 起 到 了 非常 正面 的 作用 。 但 是 ,这 些 课 程 指 导 书 由 于 
更 偏向 认证 的 各 个 知识 点 ,实验 内 容 也 围绕 认证 服务 ,对 于 网 络 技术 的 细节 
缺乏 深入 分 析 。 
如 何 兼顾 理论 和 实际 应 用 ,一 直 是 困扰 计算 机 网 络 教 学 的 一 个 难题 。 作 
者 多 年 的 实践 经 验 一 再 证 明 没 有 扎实 的 网 络 理论 知识 ,根本 无 法 从 事 网 络 技 
术 。 另 一 方面 ,学 习 者 只 有 通过 真实 项 目的 全 过 程 实践 才能 真正 掌握 网 络 理 
论 知 识 。 
笔者 5 年 前 开始 总 结 自己 学 习 和 实践 经 验 , 试 图 将 实际 项 目 中 最 常用 、 
也 是 最 核心 的 知识 点 加 以 梳理 。 此 系列 书籍 的 选 题 ,内 容 选 择 、 实 验 的 准备 
和 测试 ,可 以 说 是 去 粗 取 精 的 结果 。 本 系列 从 书 涵盖 了 TPP 协议 的 分 析 、 网 络 交换 、 网 络 
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上 下 一 代 互 联网 技术 。 有 详细 的 包 结构 截屏 和 深入 的 细节 分 析 , 从 基本 理论 学 习 和 分 析 
始 ,逐步 分 析 网 络 技术 的 各 层 细 节 , 最 后 提供 一 个 从 布线 开始 ,包含 设计 和 配置 .运行 一 个 
实 园区 网 络 的 综合 实例 教程 。 本 系列 丛书 实例 丰富 、 图 文 并 茂 , 边 讲解 边 操作 ,将 网 络 技 
的 细节 一 一 展现 ,降低 了 读者 的 学 习 难 度 , 激 发 了 学 习 兴 趣 和 动手 欲望 ,适合 网 络 从 业 人 
的 专业 学 习 和 参考 以 及 各 个 院 校 作为 计算 机 网 络 的 实例 教学 。 

5 年 的 时 间 , 对 于 网 络 技 术 来 说 似乎 是 一 个 漫长 的 过 程 ,实际 上 是 一 个 让 时 间 来 检验 的 
优选 过 程 。 每 本 书 经 过 多 次 修改 ,不 仅 进 行 理论 内 容 的 修正 ,更 多 的 是 实验 的 更 新 ,甚至 全 
部 改写 ,试图 在 出 版 前 反映 最 新 的 技术 变化 。 但 有 可 能 百 密 一 疏 , 望 读者 指正 。 
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TCP/IP 是 一 个 四 层 协 议 系统 ,TCP/IP 协议 族 是 一 组 不 同 的 协议 组 合 
在 一 起 构成 的 协议 族 。 如 表 1-1 所 示 ,每 一 层 负责 不 同 的 功能 。 
表 1-1 


TCP/IP 主要 协议 主要 功能 
应 用 层 Http、Telnet、FTP、| 负责 把 数据 传输 到 传输 层 或 者 接收 从 传输 层 返 
= E-mail 等 回 的 数据 


为 两 台 主 机 上 的 应 用 程序 提供 端 到 端的 通信 。 
TCP 为 两 台 主 机 提供 高 可 靠 性 的 数据 通信 , 它 所 
做 的 工作 包括 把 应 用 程序 交 给 它 的 数据 分 成 大 
传输 层 TCP.UDP 小 合适 的 数据 块 交 给 下 面 的 网 络 层 , 确 认 接收 到 
的 分 组 等 。UDP 则 为 应 用 层 提供 不 可 靠 的 数据 
通信 , 它 只 是 把 数据 包 的 分 组 从 一 台 主 机 发 送 到 
男 一 台 主 机 ,但 是 不 保证 该 数据 能 到 达 另 一 端 
主要 为 数据 包 选 择 路 由 ,其 中 IP 是 TCP/IP 协议 
网 络 层 ICMP IP IGMP 族 中 最 为 核心 的 协议 .所 有 的 TCP, UDP ICMP、 
IGMP 数据 都 以 TP 数据 包 格 式 传输 
ARP、RARP 和 设备 | 发 送 时 将 卫 包 作为 帧 发 送 ,接收 时 把 收 到 的 位 组 
驱动 程序 及 接口 装 成 帧 ,同时 提供 链 路 管理 ,错误 检测 等 


链 路 层 


TCP/IP 协议 族 中 TCP 和 IP 只 是 其 中 的 两 种 协议 ,其 中 TCP 和 UDP 
是 两 种 最 为 著名 的 传输 层 协议 ,IP 是 网 络 层 协议 。IP 和 TCP 这 两 个 协议 的 
功能 不 尽 相 同 , 它 们 是 在 同一 时 期 作为 一 个 协议 来 设计 的 ,并 且 在 功能 上 也 
是 互补 的 ,虽然 它们 可 以 分 开 单独 使 用 ,但 是 只 有 两 者 的 结合 ,才能 保证 
Internet 在 复杂 的 环境 下 正常 运行 。 要 连接 到 Internet 的 计算 机 ,都 必须 同 
时 安装 和 使 用 这 两 个 协议 ,因此 在 实际 中 常 把 这 两 个 协议 统称 作 TCP/IP 
协议 。 

在 TCP/IP 协议 族 中 ,各 层 的 关系 如 图 1-1 所 示 。 
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图 1-1 


因特网 控制 消息 协议 (Internet Control Message Protocol. ICMP) J& IP 协议 的 附属 协 
议 。IP 层 用 它 来 与 其 他 主机 或 路 由 器 交换 错误 报 文 和 其 他 重要 信息 。IGMP 是 Internet 组 
管理 协议 , 它 用 来 把 一 个 UDP 数据 包 多 播 到 多 个 主机 。 

ARP( 地 址 解析 协议 ) 和 RARP( 道 地 址 解析 协议 ) 是 某 些 网 络 接口 (如 以 太 网 和 令 牌 环 
网 ) 使 用 的 特殊 协议 ,它们 用 来 转换 网 络 接 口 的 物理 地 址 和 对 应 的 IP. 地 址 。 

当 目 的 主机 收 到 一 个 以 太 网 数据 帧 时 ,数据 就 开始 从 协议 栈 的 底部 往 上 升 ,同时 去 掉 各 
层 协议 封装 的 报 文 首部 。 每 层 协议 盒 都 要 去 检查 报 文 首部 中 的 协议 标识 ,以 确定 接收 数据 
的 上 层 协议 。 这 个 过 程 称 作 分 用 (Demult IP Lexing) ,如 图 1-2 所 示 。 


应 用 程序 |… | 应 用 程序 | | 应 用 程序 | … | 应 用 程序 
根据 TCP 或 UDP 
首部 中 的 端口 号 
进行 分 用 
TCP 
m 根据 IP 首 部 中 的 
协议 值 进行 分 用 
ARP RARP 
| 根据 以 太 网 首部 中 
一 | 00 prestiti 
以 太 网 
驱动 程序 
进入 的 帧 


E 12 


图 1-1 和 图 1-2 中 的 协议 分 层 并 不 是 绝对 的 , 拿 ICMP 和 IGMP 来 说 ,在 图 1-1 中 ,把 它 
们 与 IP 放 在 同一 层 上 , 那 是 因为 事实 上 它们 是 IP 的 附属 协议 。 但 是 在 图 1-2 中 ,又 把 它们 
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放 在 IP 层 的 上 面 ,这 是 因为 ICMP 和 IGMP 报 文 都 被 封装 在 IP 数据 包 中 。 
再 比如 ARP 和 RARP, 在 图 1-1 中 ,把 ARP 作为 以 太 网 设备 驱动 程序 的 一 部 分 , 放 在 
IP 层 的 下 面 。 在 图 1-2 中 ,把 它们 放 在 以 太 网 设备 驱动 程序 的 上 方 , 这 是 因为 它们 和 IP 数 
据 包 一 样 , 都 有 各 自 的 以 太 网 数据 帧 类 型 。 

这 里 用 两 种 图 只 想 说 明 各 种 协议 之 间 彼 此 的 关系 ,它们 之 间 并 不 是 彼此 孤立 的 。 


1. IPE 


在 TCP/IP 协议 族 中 ,网 络 层 IP 提供 的 是 一 种 不 可 靠 的 服务 . 它 只 是 尽 可 能 快 地 把 数 
据 从 源 结 点 送 到 目的 结 点 ,并 不 提供 任何 可 靠 性 保证 。 在 通信 中 ,IP 层 只 负责 数据 的 路 由 
与 传输 ,并 不 处 理 数据 包 的 内 容 。 例 如 ICMP. TCP 或 UDP, 这 些 协议 是 依赖 IP. 层 的 传输 
功能 来 传送 数据 的 。 在 通信 双方 的 主机 中 , 收 到 这 些 协议 的 数据 包 后 ,一 般 在 通信 的 对 应 主 
机 上 ,会 有 程序 来 处 理 这 些 数 据 。 


2. TCP 层 


TCP 层 位 于 IP 的 上 层 , 应 用 程序 在 IP 网 络 上 相互 之 间 传 输 的 标准 传输 协议 有 两 个 ， 
一 个 是 传输 控制 协议 (TCP),TCP 是 目前 Internet 上 使 用 的 最 重要 的 协议 , 它 提供 的 是 可 
靠 的 .可 控制 的 传输 服务 ,大 部 分 Internet 应 用 程序 都 使 用 TCP ,因为 它 的 储 入 可 靠 性 和 流 
控制 服务 可 确保 数据 不 会 丢失 和 被 破坏 。 另 一 个 是 用 户 数 据 包 协议 (UDP), 它 提供 的 服务 
轻便 但 不 可 靠 。 

IP 层 提供 了 一 种 不 可 靠 的 服务 ,TCP 在 不 可 靠 的 IP 层 上 提供 了 一 个 可 靠 的 传输 层 ， 
TCP 采用 了 超时 重 传 .发 送 和 接收 端 到 端的 数据 确认 等 机 制 来 保证 这 种 服务 的 可 靠 性 。 由 
此 可 见 , 传 输 层 和 网 络 层 分 别 负责 不 同 的 功能 。 


CHAPTE 
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IP 是 TCP/IP 协议 族 中 最 为 核心 的 协议 。 所 有 的 TCP, UDP, ICMP X 
IGMP 数据 都 以 IP 数据 包 格 式 传 输 。 目 前 的 协议 版 本 号 是 4, 因 此 IP 有 时 
也 称 作 IPv4。 未 来 的 版 本 就 是 IPv6 。 

IP 层 只 负责 数据 的 路 由 与 传输 ,并 不 处 理 数 据 包 的 内 容 。IP 提供 不 可 
靠 . 无 连接 的 数据 包 传送 服务 。 

不 可 靠 (unreliable) 的 意思 是 它 不 能 保证 IP 数据 包 能 成 功 地 到 达 目 的 
4b. IP 仅 提 供 最 好 的 传输 服务 。 如 果 在 传输 过 程 中 发 生 某 些 错误 时 ,IP 有 
一 个 简单 的 处 理 错误 算法 : 丢弃 该 数据 包 , 然 后 发 送 ICMP 消息 报 给 源 发 

每 经 过 一 个 系统 (主机 或 路 由 器 ) 都 会 检查 这 个 包 , 如 果 这 个 包 已 经 损坏 
或 者 经 历 过 其 他 形式 的 暂时 性 失败 ,该 包 就 会 在 此 立刻 被 删除 。 

如 果 出 现 的 问题 是 半 永 久 性 Csemi-permanent) 的 ,那么 IP 就 会 发 送 ICMP 
来 给 源 发 送 者 返回 一 个 错误 消息 ,将 这 次 失败 告诉 源 发 送 者 ,以 让 发 送 者 修 
改 引 起 失败 的 情况 ,然后 删除 该 数据 包 。 

暂时 性 的 失败 和 半 永 久 性 失败 之 间 的 界限 很 重要 。 暂 时 性 错误 是 指 不 
是 因为 发 送 者 的 错误 引起 的 (例如 生命 期 超时 发 生 的 错误 或 者 校 验 和 计算 错 
误 )。 半 永久 性 失败 是 指 包 或 网 络 出 现 了 问题 导致 这 条 路 径 不 能 发 送 数据 ， 
这 时 最 好 把 问题 告诉 发 送 者 以 便 纠正 错误 。 

IP 提供 无 连接 服务 也 就 是 IP 并 不 维护 任何 关于 后 续 数据 包 的 状态 信 
息 。IP 网 络 把 每 个 IP 数据 包 都 当 作 一 个 完全 独立 的 实体 ,每 一 个 实体 都 
通过 当时 最 合适 的 路 径 进行 传输 。 例 如 ,如 果 一 个 用 户 想 从 一 个 远程 Web 
服务 器 获取 一 个 文档 ,为 了 返回 请 求 的 材料 ,这 个 服务 器 可 能 需要 创建 几 
个 全 数据 包 。 每 个 数据 包 都 通过 沿途 的 路 由 器 来 寻找 最 合适 的 路 径 进行 
传输 。 比 如 Web 服务 器 往 请 求 客户 端 发 送 的 第 一 个 数据 包 可 能 通过 地 下 
光纤 电缆 传输 ,而 第 二 个 可 能 通过 卫星 连接 来 传输 .第 三 个 可 能 通过 传统 
的 网 络 来 传输 。 每 个 数据 包 之 间 是 独立 的 , 它 的 好 处 就 是 数据 包 不 用 按 顺 
序 到 达 目 的 地 ,因为 某 个 数据 包 可 能 经 过 一 个 快速 网 络 传输 ,而 其 他 数据 
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包 可 能 经 过 一 个 慢 速 网 络 传输 ,还 有 数据 包 可 能 会 重复 ,导致 某 个 包 有 和 多 个 拷贝 到 达 目 
的 地 。 

另外 ,网 络 把 每 个 数据 包 都 看 作 是 单个 的 实体 , 它 自 身 不 用 负责 跟踪 所 有 的 连接 ,这 样 
网 络 设备 可 以 专注 于 传输 数据 包 , 这 个 特性 使 得 整个 性 能 能 够 提高 到 硬件 允许 的 水 平 , 而 对 
内 存 和 CPU 要 求 却 尽 可 能 地 低 。 

由 于 每 个 数据 包 的 处 理 是 相互 独立 的 ,这 样 当 数 据 包 到 达 目 的 地 时 就 会 失 序 ,怎么 样 来 
组 织 起 这 些 失 序 的 数据 包 呢 ? 原来 在 IP 首部 中 包含 着 一 些 信息 ,以 让 接收 端 能 正确 组 装 这 
些 数据 包 。 


2.1 IP 分 片 和 重组 


IP 分 片 与 网 络 的 MTU 有关。 先 来 看 看 MTU: 

MTU(Maximum Transmission Unit) 是 网 络 上 传送 的 最 大 数据 包 。MTU 的 单位 是 字 
节 。 例 如 ,Ethernet 在 一 个 帧 中 仅仅 能 够 发 送 1500 个 字 节 ,而 16MB/s Token Ring 的 典型 
的 MTU 每 个 帧 是 17 914 个 字 节 。 

RFC791 规定 ,MTU 最 大 是 65 535 个 字 节 ,最 小 是 68 个 字 节 。 当 IP 层 接收 到 一 份 要 
发 送 的 IP 数据 包 时 ,如 果 数 据 包 大 于 发 送 系统 的 本 地 MTU 的 话 , 这 时 系统 就 得 把 数据 包 
分 成 多 个 片 (fragmentation) 来 发 送 。 在 数据 包 传输 过 程 中 ,如 果 IP 数据 包 太 大 而 不 能 通过 
发 送 者 和 最 终 接 收 者 之 间 的 某 个 网 段 时 ,路 由 器 也 会 把 包 分 段 ,使 得 数据 包 能 顺利 通过 这 个 
网 络 。 

分 片 后 的 TP 数据 包 , 只 有 到 达 目 的 地 才 进 行 重新 组 装 。 重 新 组 装 由 目的 端的 IP 层 来 
完成 ,其 目的 是 使 分 片 和 重新 组 装 过 程 对 传输 层 (TCP 和 UDP) 是 透明 的 。 已 经 分 片 过 的 
数据 包 有 可 能 会 再 次 进行 分 片 (可 能 不 止 一 次 )。 

当 IP 数据 包 被 分 片 后 ,每 一 片 都 成 为 一 个 分 组 .具有 自己 的 IP 首部 ,这 些 分 片 后 的 数 
据 包 相互 独立 ,会 选择 各 自 的 最 佳 路 由 到 达 目 的 地 。 这 样 , 当 数据 包 的 这 些 片 到 达 目 的 端 时 
有 可 能 会 失 序 ,接收 端 凭 件 在 TP 首部 中 的 信息 正确 组 装 这 些 数据 包 片 。 

虽然 数据 包 可 以 分 片 ,但 是 要 尽量 避免 分 片 ,因为 IP 层 本 身 没 有 超时 重 传 的 机 制 ,由 更 
高 层 来 负责 超时 和 重 传 (TCP 有 超时 和 重 传 机 制 )。 当 某 片 报 文 竺 失 后 ,TCP 在 超时 后 会 重 
发 整个 TCP 报 文 段 ,而 不 是 重 传 数据 包 文 段 中 的 一 个 数据 包 片 。 分 片 还 会 增加 丢 包 率 , 降 
低 网 络 速度 。 


2.2 分 片 规则 


分 片 仅仅 出 现在 数据 包 的 数据 部 分 。 

分 片 过 程 不 包括 数据 包 的 首部 。 如 果 源 数据 包 是 4464 字 节 ,那么 这 个 数据 包 中 至 少 有 
20 字 节 是 用 来 储存 首部 信息 ,这 意味 着 数据 部 分 是 4444 字 节 。 要 分 片 的 就 是 这 4444 
字 节 。 

每 一 个 分 片 都 会 产生 一 个 包含 它 自己 IP 首部 的 新 包 . 这 个 IP 首部 至 少 耗 用 新 包 中 的 
20 字 节 。 
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IP 分 片 必须 以 8 字 节 的 倍数 分 片 。 如 一 个 数据 包 包 含 256 字 节 的 数据 ,但 前 一 个 片段 
仅 能 容纳 250 字 节 ,那么 第 一 个 片段 仅仅 包含 248 字 节 (248 是 小 于 250 的 可 以 被 8 整除 的 
整数 )。 剩 下 的 8 字 节 就 在 下 一 个 片段 发 送 。 

要 尽量 避免 IP 分 片 ,TCP 的 Path MTU Discovery 机 制 可 以 提供 一 个 最 优 值 来 避免 数 
据 分 片 。 


2.3 IP 数据 包 结 构 


IP 数据 包 包含 要 发 送 的 数据 和 相关 的 IP 首部 ,如 图 2-1 所 示 , 这 是 个 IP 数据 包 的 结 
构 , 显 示 了 一 个 IP 数据 包 所 包含 的 信息 。 


4 位 版 本 “| 4 位 首部 长 度 | 8 位 服务 类 型 应 总 长 度 ( 字 节 数 ) 
(TOS) 
16 位 标识 3 位 标志 [or 2 
T 
8 位 生存 时 间 (TTL) 8 位 协议 | 16 位 首部 检验 和 字 
节 
32 位 源 IP 地 址 
32 位 目的 IP 地 址 
选项 
数据 
图 2-1 
IP 数据 包 中 每 个 字段 的 意义 如 表 2-1 所 示 。 
表 2-1 
字 B 位 数 用 法 说 明 
说 明 用 以 创建 该 数据 包 的 IP 版 本 。 所 有 接触 该 数据 包 的 设 
IW AK (Version) 4 | 备 都 必须 支持 本 字段 显示 的 版 本 。 大 部 分 TCP/IP 产品 都 使 
用 IPv4 
132 位 为 单位 表明 让 首部 的 长 度 - z * 
SHENG ten 4 | 以 32 位 为 单位 表明 IP 首部 的 长 度 。 因 为 几乎 所 有 的 IP 首 


部 都 是 20 字 节 长 ,这 个 字段 的 值 几乎 总 是 5 

给 应 用 程序 .主机 和 Internet 上 的 路 由 器 提供 一 个 优先 级 服 
服务 类 型 (Type-of-Service Flags) 8 | 务 。 在 这 个 字段 设置 合适 的 标志 ,应 用 程序 可 以 要 求 这 个 数 
据 包 得 到 高 优先 级 ,而 让 其 他 数据 包 等 待 

总 长 度 (Total Packet Length) 16 | 以 字 节 为 单位 说 明 全 部 IP 包 的 长 度 ,包括 首部 和 主体 部 分 
标识 (Fragment Identifier) 16 | 标识 数据 包 , 在 出 现 分 片 并 想 把 片段 合并 成 原状 时 是 有 用 的 
说 明 可 能 出 现 的 任何 分 片 的 某 些 方面 :也 提供 了 分 片 控 制服 


示 志 (Fragmentation Flags 3 
aia ”| 务 ,例如 不 让 路 由 器 分 片 某 个 包 
说 明 这 个 片段 提供 的 源 人 数据 包 的 字 节 范围 ,用 5 字 节 的 信 


偏 移 (Fragmentation Offset) 13 
移 表 示 
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续 表 
7 B 位 数 用 法 说 明 
生存 时 间 (Time-to-Live) 8 | 说 明 数据 包 在 不 可 发 送 和 破坏 之 前 还 可 以 经 过 的 跳 数 
协议 (Protocol Identifier) 8 | 说 明 储存 在 IP 数据 包 主 体 的 高 层 协议 
首部 校 验 和 (Header Checksum) | 16 | 用 来 储存 IP 首部 的 校 验 和 
源 IP 地 址 (Source IP Address) 32 | 用 来 储存 最 初 发 送 该 数据 包 的 主机 的 32 位 的 TP 地 址 
IP 地 ( Destinati IP 
pedi Se 32 | 用 来 储存 该 数据 包 到 达 目 的 系统 的 32 位 的 TP 地 址 
就 像 也 用 typeof service 标志 提供 了 一 些 优先 级 服务 一 样 ， 
附加 的 特殊 处 理 选项 能 够 通过 Options 字段 定义 。 这 些 选项 
选项 (options) 可 变 | 包括 source routing, timestamp 和 其 他 一 些 选项 。 这 些 选 项 
很 少 用 ,这 也 是 会 导致 IP 首部 长 度 超 过 20 字 节 的 唯一 原因 
(这 个 选项 是 可 选择 的 ) 
IP 数据 包 的 首部 的 长 度 必须 是 32 的 倍数 。 如 果 首 部 中 引入 
Paddi :需要 的 话 变 
的 人 可 变 | 了 某 些 选项 ,首部 必须 填充 到 能 够 被 32 整除 的 位 数 
"m 可 变 | I 数 据 包 的 数据 部 分 。 正 常情 况 下 ,会 包含 一 个 完全 的 TCP 
ii 或 UDP 信息 ,但 是 它 也 可 以 是 其 他 TP Bc GLO — A E 


下 面 通过 一 个 实际 的 FTP 数据 包 来 分 析 一 下 IP 数据 包 的 结构 。 


1. Version 和 Header Length 


如 图 2-2 和 图 2-3 所 示 ,可 以 看 到 TP 数据 包 前 面 两 个 字段 Version 和 Header Length, 


rj 


(1194 bytes on wire, 


1194 bytes captured) 


困 Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:60:08:82:d2:19 
G Internet Protocol, Src Addr: 192.168.2.2 .168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 


Header length: 20 bytes 
G Differentiated Services Field: 0x00 (DSCP Ox00: Default; ECN: 0x00) 


0000 00.. = Differentiated Services Codepsint: Default (0x00) 
ECN-Capable Transport (ECT): 2 


Identification: Oxi9ce (6606) 
日 Flags: 0x04 (Don't Fragment) 
= Reserved bit: Not set 
= Don't fragment: Set 
..0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
El Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1381, Ack 
FTP Data 


»j 


00 60 O8 82 d2 19 00 Ob 46 59 6a 60 08 O0 gy OO 
57 39 cO a8 02 O2 -0 a8 
f3 27 05 98 Oa 88 50 18 
77 zd 72 77 2d 7 

20 20 20 31 20 75 73 65 72 20 20 20 

6f 75 70 20 20 20 20 20 20 2 20 20 


2 1dr w-rw-rw- 
20 20 use r gr 
20 20 o 
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Frame 25 (1194 bytes on wire, 1194 bytes captured) 

E Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 

G Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 


ElDifferentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x02) 
$ 0. = ECN-Capable Transport (ECT): 2 
22.0 = ECN-CE: 0 


Identification: Ox19ce (6606) 
EB Flags: 0x04 (Don't Fragment) 
0... = Reserved bit: Not set 
= Don't fragment: Set 
+0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
B] Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), seq: 1381, Ack 
E FTP Data 


f3 27 05 98 Oa 88 50 18 
77 zd 72 77 2d 72 77 2d 
72 20 20 20 20 20 57 72 
20 20 20 20 20 20 JO 20 — ouo 


Version: 4 目前 大 部 分 TCP/IP 产品 使 用 IPv4。 

Header Length: 20 IP 首部 大 小 为 20 字 节 ,从 图 2-1 可 知 ,IP 封包 每 行 有 32 位 ,也 
就 是 4 字 节 ,那么 5 列 就 是 20 个 字 节 。 如 果 选 项 没有 设 定 的 
话 , 那 么 包头 的 最 短 长 度 是 20 字 节 。 


2. Differentiated Services Field 


接 下 来 的 字段 Differentiated Services Field. 4A 2-4 Fras. E FEW IP 数据 包 提 供 优先 
级 能 力 , 这 些 优先 级 能 力作 用 于 能 够 利用 它们 的 应 用 程序 .主机 和 路 由 器 上 。 通 过 适当 的 设 
置 这 些 字段 ,一 个 应 用 程序 可 以 请 求 它 产生 的 数据 包 得 到 优先 于 其 他 等 待 通过 的 数据 包 的 
服务 。 

尽管 该 标志 自 IPv4 首次 发 布 以 来 就 可 以 用 了 ,但 真正 使 用 它 的 却 只 是 少数 应 用 程序 。 
此 外 ,只 有 少量 的 IP 软件 包 和 路 由 器 支持 它 , 这 使 得 应 用 程序 使 用 它 没什么 意义 。 
Routine 优先 权 要 求 , 设 为 0 为 普通 优先 级 ,否则 ,数值 越 高 越 优先 。 


. Delay 延迟 要 求 .0 是 普通 值 .1 为 最 小 延迟 。 
. .0... Throughput 通信 和 量 要 求 .0 为 普通 值 .1 为 最 大 吞吐 量 。 
Susi 0.. Reliability 可 靠 性 要 求 .0 为 普通 值 ,1 为 最 高 可 靠 性 。 


EET 00 Not Used 未 使 用 。 


Ee Est ew co Coyne maye Saisies Hep 


E Frame 25 (1194 bytes on wire, 1194 bytes captured) 

E Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 

G Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length 20 bytes 


Total Length: 
Identification: Oxi9ce (6606) 
B Flags: 0x04 (Don't Fragment) 


= Reserved bit: Not set 
«+ = Don't fragment: Set 
+0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
Hi Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1381, Ack 
E FTP Data 


00 60 08 8z d2 19 00 Ob 46 59 6a 80 08 00 45 
04 9c 19 ce 40 00 7f 06 57 39 cO a8 O2 O2 -0 al 
03 02 00 14 05 55 el cl f3 27 05 98 Oa 88 50 18 
44 e8 Be 7e 00 00 64 72 

20 20 20 31 20 75 73 65 

6f 75 70 2C 20 20 20 20 


3. Total Length 


说 明 整 个 IP 数据 包 的 大 小 ,包括 首部 和 数据 部 分 ,以 字 节 表示 。 如 图 2-5 所 示 ,可 以 看 
到 Total Length: 1180, 同 时 注意 到 图 最 下 方 有 个 黑色 加 强 的 部 分 04 9c, 这 个 数字 是 1180 
的 十 六 进 制 表示 。 

这 个 字段 的 主要 目的 是 告诉 系统 该 包 的 终止 位 置 : total packet length 一 ( 减 去 ) header 
length, 


4. Identification 


如 图 2-6、 图 2-7 所 示 ,标识 字段 唯一 地 标识 主机 发 送 的 每 一 份 数据 包 。 产 生 的 每 一 
数据 包 都 有 16 位 的 序列 号 ,用 来 让 发 送 系统 和 接收 系统 识别 该 数据 包 。 通 常 每 发 送 一 份 报 
文 它 的 值 就 会 加 1 。 

当 要 发 送 一 个 数据 包 分 片 的 时 候 , 会 把 这 个 字段 的 内 容 复 制 到 每 个 片 中 ,表示 这 些 被 分 
割 的 片 属于 同一 个 数据 包 。 

图 2-6 和 图 2-7 中 两 个 数据 包 的 序号 分 别 为 6606 和 6607, Æ E 2-7 中 ,数据 包 的 
Identification 字段 的 值 是 图 2-6 中 的 值 加 1。 


5. Flags 


如 图 2-8 所 示 ,这 个 字段 占有 3 位 .它们 的 表示 的 意义 如 下 : 
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ElFrame 25 (1194 bytes on wire, 1194 bytes captured) 
Bi Ethernet II, Src: O0: a:80, Dst: 00:60:08:82:d2:19 
G Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
ElDifferentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x02) 
ECN-Capable Transport (ECT): 2 
ECN-CE: O 


Identification: Oxi9ce (6606) 
EB Flags: 0x04 (Don't Fragment) 
0... = Reserved bit: Not set 
.i.. = Don't fragment: Set 
-.0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
E Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 1381, Ack 
BIFTP Data 


ce aS 02 02 -0 

00 14 98 Oa 88 50 

44 e8 Be 7e 77 2d 72 77 
20 20 20 31 20 20 20 57 1 use r gr 
6f 75 70 20 20 20 20 30 oup [] 
4f 63 74 2C 33 20 46 51 Oct 23 — 2003 Fax 
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多 加 国生 9| EE ES YS YS ZEE ESES] 


7| #38 Expression. cm noo 


FTP-DATA FTP Data: 1140 = 


a 


Frame 25 (1194 bytes on wire, 1194 bytes captured) 
国 Ethernet II, Src: 00: 9:6a:80, Dst: 00:60:08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
B Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x02) 
..0. = ECN-Capable Transport (ECT): D 
+ 4.0 = ECN-CE: 0 
Total Length: 1180 
Identification: Oxi9ce (5606 
B Flags: 0x04 (Don't Fragment) 
0... = Reserved bit: Not set 
‘1.. = Don't fragment: Set 
..0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1381, Ack 
国 FTP Data 


010 04 9c 40 00 a8 02 02 -0 a8 

O20 03 O2 O0 14 05 55 98 0a 88 5018  .. Eve x 

030 44 eg Be 7e 00 00 77 2d 72 77 2d  D..—..dr w-rw-rw- 

O40 20 20 20 31 20 75 20 20 20 57 72 1user gr 

050 6f 75 70 20 20 20 20 20 20 30 20 oup 0 

060 4f 63 74 20 32 33 33 20 46 51 78 Oct 23 — 2003 Fax 4 


pm — — — — | 


F 


a 


Frame 26 (1314 bytes on wire, 1314 bytes captured) 
E Ethernet II, Src: O0: a:80, Dst: 00:60:08:82:d2:19 
G Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
ElDifferentiated Services Field: 0x00 (DSCP Ox00: Default; ECN: 0x00) 
= Differentiated Services Codepoint: Default (0x02) 
ECN-Capable Transport (ECT): 2 
ECN-CE: O 
Total Length: 1300 


0x04 (Don't Fragment) 
0... = Reserved bit: Not set 
.1.. = Don't fragment: Set 
+-0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: Ox56cO (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
E Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 2521, Ack 
田 FTP Data 


oz 

e8 e3 9C g! 

20 20 3€ 62250 459 Feb 

38 20 20 28 2003 symante 

41 6e 74 cAntiVir usServer 4 


om | 
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ESSE EE ES YS YS ZEE ES] 
es expression. | Gear vty] 


国 Frame 25 (1194 bytes on wire, 1194 bytes captured) 
E Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:60:08:62:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
E Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x09) 
+ ++. = ECN-Capable Transport (ECT): 2 
。 ...0 = ECN-CE: 0 
Total Length: 1180 
Identification: Ox19ce (6606) 


0... = Reserved bi 
+1.. = Don't fragment: Set 
..0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
Œ Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), seq: 1381, Ack 
E FTP Data 


010 04 9c 19 ce Ay 00 a8 02 02 -0 

20 03 02 O0 14 85 55 98 Oa 88 50 

030 44 eg Be 7e 00 00 77 2d 72 77 D..—..dr w-rw-rw- 

040 20 20 20 31 20 75 20 20 20 57 1user gr 

SO 6f 75 70 20 20 20 20 20 20 30 oup 0 

060 4f 63 74 20 32 33 33 20 46 51 Oct 23 — 2003 Fax 4 
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Reserved bit: 目前 没有 使 用 。 

don’t fragment; 用 于 说 明 某 一 IP 路 由 器 是 否 可 以 分 片 这 个 IP 包 。 为 1 时 表示 不 能 
被 分 割 。 

more fragments: 用 来 说 明 源 数据 包 是 否 还 有 其 他 片段 。 为 1 时 表示 其 后 还 有 被 分 割 的 包 。 


6. Fragment Offset 


如 图 2-9 所 示 ,这 个 字段 是 偏 移 定位 , 当 一 个 大 的 数据 包 在 经 过 一 些 传输 单元 (MTU) 
较 小 的 路 径 时 ,会 被 分 割 成 片 fragment 进行 传送 (这 个 切片 和 传送 层 的 打包 有 所 不 同 , 它 是 
由 链 路 层 决定 的 ) ,由 于 链 路 情况 和 其 他 因素 的 影响 ,数据 到 达 时 有 可 能 会 失 序 ,数据 到 达 时 
的 顺序 不 一 定 就 是 当初 分 割 数 据 包 的 顺序 ,所 以 当 分 片 的 时 候 , 每 个 片 做 好 偏 移 定位 标记 ， 
便于 在 重组 的 时 候 对 号 入 座 。 


iFrame 25 (1194 bytes on wire, 1194 bytes captured) 
Ø Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 


Version: 4 
Header length: 20 bytes 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x02) 
js O. = ECN-Capable Transport (ECT): 2 
i .0 = ECN-CE: 0 
Total Length: 1180 
Identification: Oxi9ce (6606) 
B Flags: 0x04 (Don't Fragment) 
O... = Reserved bit: Not set 
.1.. = Don't fragment: Set 
..0. = More fragments: Not set 


Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2) 
Bi Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1381, Ack 


04 9c 19 ce 7f 06 57 39 cO a8 02 02 -0 a8 
03 02 00 14 el cl f3 27 05 98 Oa 88 50 18 
44 e8 Be 7e 00 00 64 72 77 zd 72 77 2d 72 77 2d 
20 20 20 31 20 75 73 65 2 5 
6f 75 70 2C 20 20 20 20 

4f 63 74 2C 32 33 20 20 


ragmentation offset 设 为 0. 表示 数据 包 没 有 被 分 片 。 
因为 没有 提供 “片段 的 序列 号 ”字段 ,目的 系统 地 端 把 这 个 字段 和 total packet length 和 
don’t fragment 标志 一 起 使 用 。 

图 2-9 和 图 2-8 的 flags 放 在 一 起 看 ,不 难看 出 “40 00” 表 示 该 片段 不 可 分 ,这 是 第 一 个 
也 是 最 后 一 个 。 


7. Time-to-Live 


如 图 2-10 所 示 ,生存 时 间 (TTL) ,在 许多 网 络 协议 中 都 会 碰 到 , 它 指定 某 个 数据 包 在 不 
能 发 送 并 被 丢弃 之 前 可 以 经 过 的 最 大 跳 数 。 当 某 个 源 端 产生 一 个 IP 数据 包 时 , 它 就 在 
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Time-to-live 字段 显示 一 个 1 一 255 之 间 的 值 。 每 当 该 包 经 过 路 由 器 发 送 一 次 ,这 个 值 就 减 去 
1。 如 果 这 个 值 在 到 达 最 终 目 的 系统 之 前 减 到 0, 该 包 就 被 认为 是 不 可 发 送 的 并 被 立刻 丢弃 。 


fi Frame 25 (1194 bytes on wire, 1194 bytes captured) 
Ø Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:60:08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
E Differentiated Services Field: 0x00 (DSCP Ox00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x02) 
3 = ECN-Capable Transport (ECT): 2 
= ECN-CE: 0 
1180 
Identification: Ox19ce (6606) 


EB Flags: 0x04 (Don't Fragment) 
O... = Reserved bit: Not set 
.1.. = Don't fragment: Set 
.0. = More fragments: Not set 
Fragment offset: 0 


Protocol: TCP (0x06) 

Header checksum: 0x5739 (correct) 

Source: 192.168.2.2 (192.168.2.2) 

Destination: 192.168.3.2 (192.168.3.2) 
B) Transmission Control Protocol, Src Port: ftp-deta (20), Ost Port: 1365 (1365), Seq: 1381, Ack 
FTP Data 


8. Protocol 
这 个 字段 用 来 识别 嵌入 到 TP 数据 包 中 的 上 层 协议 的 类 型 . 值 为 1 表示 ICMP, 值 为 2 


表示 IGMP, 值 为 6 表示 TCP. 值 为 17 表示 UDP. 
图 2-11 中 数值 为 6, 表示 TCP 协议 。 


9. Header Checksum 


如 图 2-12 所 示 ,用 以 储存 该 IP 首部 的 校 验 和 ,使 得 中 间 设 备 能 够 验证 首部 的 内 容 并 检 
验 出 可 能 的 数据 损坏 。 
校 验 和 仅仅 应 用 于 IP. 首部 的 值 ,而 不 应 用 于 整个 IP 数据 包 。 


10. Source Address 
如 图 2-13 所 示 ,标识 该 数据 包 的 源 发 送 者 ,也 就 是 源 端 系统 使 用 的 32 位 IP 地 址 。 


11. Destination Address 


如 图 2-14 所 示 ,标识 数据 包 的 最 终 目 的 地 的 TP 地 址 。 
这 个 字段 说 明 的 是 该 数据 包 的 最 终 目的 地 址 ,为 了 把 数据 包 发 送 到 最 终 目的 地 ,目的 地 
的 IP 地址 必须 在 首部 中 提供 ,并 且 必 须 总 是 保留 在 首部 中 。 
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国 Frame 25 (1194 bytes on wire, 1194 bytes captured) 
Bb Ethernet II, Src: O0: 9:68:80, Dst: 00:6C:08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
ElDifferentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x09) 
p ECN-Capable Transport (ECT): 2 
oie ECN-CE: 0 
Total Length: 1180 
Identification: Ox19ce (6606) 
EB Flags: 0x04 (Don't Fragment) 
O... = Reserved bit: Not set 
+1.. = Don't fragment: Set 
..0. = More fragments: Not se 
Fragment offset: 0 
Time to live: 127 
——— —————sssm—— ee: 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.168.2.2) 
Destination: 192.168.3.2 (192.168.3.2 
Bi Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1381, Ack 
FTP Data 


04 9c 19 ce a8 02 0220 a8 . 

03 02 00 14 98 Oa 88 50 18 

44 e8 Be 7e 77 2d 72 77 2d 

20 20 20 31 20 20 20 57 72 luser gr 

6f 75 70 20 20 20 2030 20 oup 0 

4f 63 74 20 33 20 46 51 78 Oct 23 2003 Fax / 
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图 2-11 
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AAKECERALCECOLCOKEE 
es pression | Car vty] 
Frame 25 (1194 bytes on wire, 1194 bytes captured) 


ta: 1140 ub 
E Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 
日 Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
ElDifferentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x02) 
+ ++. = ECN-Capable Transport (ECT): 2 
«2.0 = ECN-CE: 0 
Total Length: 1180 
Identification: Ox19ce (6606) 
B Flags: 0x04 (Don't Fragment) 
0... = Reserved bit: Not set 
+1.. = Don't fragment: Set 
..0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 


Source: 192.168.2.2 (192.168.2.2) 

Destination: 192.168.3.2 (192.168.3.2) 
Œ Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), seq: 1381, Ack 
E FTP Data 


010 04 9c 19 ce 40 OO 7f a8 02 02 -0 $ 
020 03 02 00 14 05 55 ei 98 Oa 88 50 = IP. 
30 44 eg Be 7e O0 O0 64 77 2d 72 77 D..—..dr w-rw-rw- 
040 20 20 20 31 20 75 73 20 20 20 57 1user gr 
SO 6f 75 70 20 20 20 20 20 20 20 30 oup 0 
O60 4f 63 74 32 33 20 33 20 46 51 Oct 23 — 2003 Fax 4 


[Header checksum (p checksum). 2 bytes E 
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E Frame 25 (1194 bytes on wire, 1194 bytes captured) 
B) Ethernet II, Src: O0: 9:68:80, Dst: 00:6C:08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
ElDifferentiated Services Field: 0x00 (DSCP Ox00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x09) 
p ECN-Capable Transport (ECT): 2 
E ECN-CE: O 
Total Length: 1180 
Identification: Ox19ce (6606) 
EB Flags: 0x04 (Don't Fragment) 
O... = Reserved bit: Not set 
.1.. = Don't fragment: Set 
..0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 


Destination: 192.168.3.2 (192.168.3.2 
Bl Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1381, Ack 
FTP Data 


DO10 04 9c 19 a8 

0020 03 02 00 18 

0030 44 e8 Be 2d 

0040 20 20 20 72 1 use r gr 

0050 6f 75 70 20 oup o 

0060 4f 63 74 78 Oct 23 — 2003 Fax 4 
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图 2-13 


25 10. m m -168.3. FTF-DATA FTP Data: 1140 mur 


Frame 25 (1194 bytes on wire, 1194 bytes captured) 
E Ethernet II, Src: 00:0b: :08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
Version: 4 
Header length: 20 bytes 
B Differentiated Services Field: 0x00 (DSCP Ox00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x02) 
+ ..0. = ECN-Capable Transport (ECT): 2 
. ...0 = ECN-CE: 0 
Total Length: 1180 
Identification: Ox19ce (6606) 
B Flags: 0x04 (Don't Fragment) 
0... = Reserved bit: Not set 
+1.. = Don't fragment: Set 
.0. = More fragments: Not set 
Fragment offset: 0 
Time to live: 127 
Protocol: TCP (0x06) 
Header checksum: 0x5739 (correct) 
Source: 192.168.2.2 (192.16! 
Destination: 192.168.3.2 
El Transmission Control Protoco 
E FTP Data 


1010 04 9c 19 
020 MERE 00 
030 det Ge 
040 20 20 20 
050 6f 75 70 
O60 4f 63 74 


30 18 
77 2d 
87 72 
30 20 
51 78 / 
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第 3 章 TCP 和 UDP 协议 


应 用 程序 用 来 在 IP 网 络 上 相互 之 间 传 输 的 标准 传输 协议 有 两 个 。 一 个 
是 用 户 数 据 包 协议 (UDP) , 它 提供 的 服务 轻便 但 不 可 靠 ; 另外 一 个 是 传输 控 
制 协议 (TCP) , 它 提 供 的 是 可 靠 的 .可 控制 的 传输 服务 。 大 部 分 Internet 应 
用 程序 都 使 用 TCP, 因 为 它 的 嵌入 可 靠 性 和 流 控制 服务 可 确保 数据 不 会 丢失 
和 被 破坏 。 


3.1 TCP 协议 


TCP 是 目前 Internet 上 使 用 的 最 重要 的 协议 。IP 在 Internet 上 发 送 数 
据 包 ,TCP 确保 了 IP 数据 包 中 的 数据 的 正确 性 ,没有 TCP 可 靠 性 服务 ， 
Internet 即使 能 够 工作 ,也 不 可 能 工作 得 像 现 在 这 么 好 。 

RFC 793 规定 TCP 的 Protocol ID 为 6。 当 系统 收 到 标注 了 包含 
Protocol 6 的 数据 包 后 , 它 就 把 该 数据 包 的 内 容 发 送 到 TCP 作 进 一 步 处 理 。 


311 TOP 所 提供 的 服务 及 TCP 数据 包 结 构 


TCP 提供 的 服务 大 致 可 以 分 为 与 连接 相关 的 服务 和 与 数据 传输 相关 的 
服务 。 

当 数据 从 一 台 计 算 机 传输 到 另 一 台 计 算 机 时 ,就 需要 TCP 在 源 和 目标 
计算 机 之 间 建 立 一 条 传输 通道 ,用 来 实现 两 台 计 算 机 之 间 的 数据 交换 。 首 
先 , 发 送 端 计算 机 上 ,使 用 TCP 协议 的 应 用 程序 在 两 台 计 算 机 开始 通信 时 ， 
通知 它 的 操作 系统 启动 与 另 一 台 计 算 机 间 的 通信 ,并 且 告 知 接收 端 , 想 和 它 
建立 连接 ,此 过 程 为 主动 打开 。 接 收 计 算 机 上 使 用 TCP 协议 的 应 用 程序 通 
知 本 地 操作 系统 : 自己 和 其 他 计算 机 的 通信 即将 开始 ,此 过 程 为 被 动 打开 。 
发 送 端 和 接收 端的 操作 系统 都 分 配 一 个 定义 好 的 信道 ,把 这 个 信道 称 为 端 
口 。 在 两 台 计 算 机 之 间 正 在 被 调用 的 应 用 程序 通过 使 用 端口 进行 通信 和 数 
据 交换 。 当 发 送 和 接收 端 完 成 了 启动 通信 的 过 程 并 确认 了 所 建立 的 连接 后 ， 
就 可 以 开始 数据 交换 了 。 图 3-1 是 TCP 报头 格式 。 
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16 位 源 端口 号 16 位 目的 端口 号 | 
32 位 序号 20 
32 位 确认 序号 t 
4 位 首部 长 度 | 保留 (6 位 ) | 标志 (6 位 ) 16 位 窗口 大 小 w 
16 位 校 验 和 16 位 紧急 指针 | 
选项 +padding num 
数据 
图 3-1 


1. 源 端口 和 目标 端口 (Source Port/Destination Port.16 f) 


在 每 一 个 TCP 的 头 部 中 都 包含 有 源 端口 号 和 目的 端口 号 ,用 于 定位 源 端的 应 用 进程 和 
目的 端的 应 用 进程 。 在 前 面 的 章节 中 已 讨论 过 通过 IP 地 址 可 以 唯一 地 在 网 络 上 确定 一 台 
主机 ; 而 通常 每 一 台 机 器 上 都 会 有 多 个 进程 在 同时 运行 ,都 可 能 向 网 络 的 服务 器 提出 服务 
的 请 求 或 向 网 络 中 的 其 他 客户 提供 服务 ,这 时 通过 端口 号 来 区 分 不 同 的 应 用 进程 。 例 如 当 
某 一 台 客 户 端的 应 用 程序 要 向 某 一 服务 器 提出 WWW 服务 的 请 求 时 ,用 目的 端口 号 80 来 
向 收 到 请 求 的 服务 器 表明 它 所 请 求 的 服务 为 WWW 服务 ; 如 果 同 时 该 机 器 的 另 一 应 用 程 
序 向 服务 器 提出 FTP 服务 的 请 求 时 , 则 目的 端口 号 21 表示 它 所 需要 的 服务 类 型 为 FTP。 
这 样 就 很 好 地 保证 了 在 多 个 应 用 同时 需要 进行 数据 传输 时 传输 的 数据 不 至 于 混淆 。 


2. 序列 号 和 确认 号 (Sequence Number/ Acknowledgement .32 位 ) 


序列 号 和 确认 号 是 TCP 实现 可 靠 连接 的 关键 。 当 建立 一 个 TCP 连接 时 ,发 送 方 主机 
发 出 一 个 随机 的 初始 化 序列 号 给 接收 方 ,接收 方 将 其 加 1 后 送 回 发 送 方 , 这 意味 着 发 送 方 可 
以 发 送 下 一 个 字 节 了 。 一 旦 数据 开始 传送 ,序列 号 和 确认 号 将 跟踪 已 发 送 了 的 那些 数据 。 
因为 每 个 域 都 是 32 位 ,总 共 可 以 有 2” 个 值 ,所 以 每 个 域 的 范围 是 : 0 一 4 294 967 295, 当 超 
过 上 限时 回 到 0。 


3. 首部 长 度 (4 位 ) 


以 字 节 为 单位 表示 TCP 头 的 大 小 。 头 长 度 随 可 变 长 度 选 项 字段 而 改变 ,通过 这 个 字段 
同时 可 以 判断 该 TCP 数据 段 的 开始 位 置 和 结束 位 置 。 


4. 标志 (6 位 ) 


标志 字段 部 分 包含 6 个 标志 位 , 它 说 明了 其 他 字段 包含 有 意义 的 数据 或 说 明 某 种 控制 
功能 。 具 体 每 个 标志 位 的 意义 后 面 会 讲 到 。 


5. 窗口 (16 位 ) 


此 字段 告诉 接收 这 个 TCP 报 文 的 接收 端 自己 还 可 以 接收 多 少数 据 字 节 。 它 大 致 对 应 
于 滑动 窗口 协议 的 窗口 尺寸 。 反 过 来 ,接收 TCP 报 文 的 接收 端 可 以 使 用 此 字段 来 改变 发 送 
端的 窗口 的 大 小 。 窗 口 最 大 为 65 535 字 节 。 
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6. 校 验 和 (16 位 ) 


用 于 传输 层 差错 检测 。 校 验 和 算法 将 TCP 段 的 内 容 转换 为 一 系列 16 位 的 整数 ,并 将 
它们 相 加 。 接 收 方 根据 校 验 和 判断 传输 是 否 正 确 。 


7. 紧急 指针 (Urgent Pointer.16 位 ) 


只 有 当 URG 标志 置 1 时 才 有 效 。 紧 急 指 针 是 一 个 正 的 偏 移 量 , 和 序号 字段 中 的 值 相 
加 表示 紧急 数据 最 后 一 个 字 节 的 序号 。TCP 为 了 提高 效率 ,数据 不 会 直接 发 送 到 对 方 ,一 
般 都 先 放 在 数据 缓冲 区 中 ,等 到 数据 积累 到 一 定 的 大 小 才 会 一 起 发 送 。 紧 急 指 针 所 指 的 一 
段 数据 不 必 等 待 缓冲 数据 的 积累 ,直接 发 送 到 对 方 。 


8. 选项 十 padding( 可 变 长 度 ) 


选项 字段 用 于 确定 主机 可 以 接收 数据 段 的 最 大 尺寸 。 通 常 在 建立 初始 连接 时 规定 此 
值 。 这 是 一 个 重要 选项 ,因为 TCP 可 能 连接 了 两 台数 据 处 理 能 力 相 差 很 大 的 计算 机 ,为 了 
防止 数据 拥塞 ,要求 每 台 计 算 机 都 了 解 另 一 台 的 所 有 限制 (如 缓冲 区 大 小 ) 。 例 如 ,一 台 服 务 
器 一 次 发 送 太 大 的 数据 段 将 导致 PC 机 无 法 处 理 , 因 此 PC 会 在 建立 TCP 连接 时 确定 它 可 
接收 数据 的 最 大 段 尺寸 。 

TCP 首部 最 小 为 20 字 节 。 如 果 定 义 了 一 些 选项 ,首部 的 大 小 就 增加 (最 大 为 60 F 
节 )。RFC 793 规定 首部 必须 可 以 被 32 位 整除 ,所 以 如 果 定 义 了 一 个 选项 ,但 该 选项 只 用 了 
16 位 ,那么 必须 使 用 padding 字段 补充 16 位 ,padding 字段 是 由 0 组 成 的 字段 。 


9. 数据 (可 变 大 小 ) 
用 户 提供 的 数据 。 
312 TCP 数 据 传 输 原 理 


当 TCP 连接 完成 进行 数据 传输 时 ,有 可 能 出 现 一 系列 复杂 的 情况 ,比如 网 络 拥塞 .数据 
丢失 ,数据 传输 效率 低下 等 。TCP 有 一 系列 机 制 来 保证 数据 传输 提供 和 保证 可 靠 的 .安全 
的 \ 有 效 的 、 高 效率 的 数据 传输 ,下 面 进行 介绍 。 


1. MSS( 最 大 报 文 段 长 度 ) 和 MTU( 最 大 传输 单元 ) 大 小 


在 TCP 初 建 连接 时 ,通讯 双方 要 交换 MSS, 以 确定 将 要 传输 的 数据 的 大 小 , MSS 值 设 
置 为 外 出 接口 上 的 MTU 长 度 减 去 固定 的 IP 首部 和 TCP 首部 长 度 。 但 是 如 果 网 络 的 中 间 
设备 的 MTU 要 小 于 通信 双方 计算 机 的 MTU, 那 么 数据 在 传输 过 程 中 就 要 分 段 。TCP R 
用 一 个 Path MTU Discovery 机 制 来 避免 当 不 同 网 络 的 计算 机 要 通信 时 出 现 的 分 段 问 题 ， 
即 通信 前 先 发 送 一 个 IP 探测 数据 ,数据 包 的 大 小 为 输出 接口 或 者 对 端 声明 的 MSS 中 的 最 
小 MTU, 这 个 数据 包 的 IP 报头 “不 分 片 ” 标 志 字 段 必须 被 设置 为 1. 以 表明 禁止 数据 包 分 
段 , 如 果 IP 探测 器 没有 被 分 段 到 达 了 目的 地 ,那么 就 会 采用 此 探测 器 段 中 用 到 的 MTU JH 
作 数 据 传 输 , 如 果 发 送 端 收 到 一 个 ICMP 错误 消息 * 不 能 分 片 ”. 一 个 表示 数据 包 太 大 ,那么 
发 送 端 再 发 送 一 个 数据 包 小 一 点 的 探测 器 .直到 有 个 探测 器 顺利 到 达 对 端 。 
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2. 确认 机 制 . 序 号 机 制 . 超 时 重 传 机 制 


当 TCP 的 连接 建立 好 后 ,为 保证 数据 传输 的 可 靠 ,TCP 协议 要 求 对 传输 的 数据 都 进行 
确认 ,为 保证 确认 的 正常 进行 ,TCP 协议 首先 对 每 一 个 分 段 都 作 了 32 位 的 编号 , 称 为 序列 
号 。 每 一 个 分 段 都 按照 从 起 始 号 递增 的 顺序 进行 编号 。TCP 协议 通过 序列 号 以 及 确认 号 
来 确保 传输 的 可 靠 性 ,每 一 次 传输 数据 时 都 会 标明 该 段 的 编号 ,以便 对 方 确认 ,同时 在 确认 
字段 中 对 已 收 到 的 TCP 分 段 确认 。 确 认 并 不 需要 单独 发 包 确 认 , 可 以 放 在 传 到 对 方 的 
TCP 分 段 中 ,在 TCP 协议 中 并 不 直接 确认 收 到 哪些 分 段 ,而 是 通知 发 送 方 下 一 次 该 发 送 哪 
一 个 分 段 , 表 示 前 面 的 分 段 都 已 收 到 ; TCP 协议 的 确认 通常 采用 延 时 几 分 之 一 秒 后 再 做 确 
认 ,而 不 是 收 到 一 个 确认 一 个 ,接收 端 可 能 收 到 从 X 到 X+N 的 N 个 后 才 开始 确认 ,直接 在 
确认 字段 中 标 N 十 X 十 1 ,通知 对 方 下 一 次 直接 传 N 十 X 十 1 分 段 ,这 样 减少 确认 的 次 数 以 增 
加 确认 的 效率 。 发 送 端 发 送 一 段 数据 后 ,会 设置 一 个 (RTO) 重 传 超 时 计时 器 , 当 计 时 器 时 
间 内 没有 收 到 对 方 的 确认 消息 ,或 者 发 送 端 收 到 3 个 重复 ACK 后 就 重 发 数据 段 。 如 果 
M(M 二 N) 分 段 在 传输 中 出 错 , 则 确认 X 十 M 通知 发 送 方 从 XHM 开始 重 传 X 十 M 分 段 以 
及 以 后 的 所 有 分 段 。TCP 的 确认 和 重 传 技术 对 每 一 个 分 段 都 有 了 唯一 的 编号 ,这 样 当 对 方 收 
到 了 重复 的 分 段 后 容易 区 分 ,数据 分 段 丢失 后 也 容易 定位 重 传 的 数据 的 编号 。 


3. 缓冲 传输 机 制 


当 需 要 传输 不 大 的 数据 时 ,发 送 端 应 用 程序 将 一 直 等 待 , 直 到 积累 为 一 个 大 的 数据 块 再 
进行 传输 。 
4. 滑动 窗口 机 制 


为 了 提高 传输 效率 ,TCP 在 缓存 上 定义 了 一 个 窗口 ,发 送 端 不 必 等 收 到 确认 再 发 送 
数据 ,发送 数 据 的 多 少 由 这 个 窗口 决定 ,这 种 机 制 叫 滑动 窗口 机 制 。 它 将 多 个 段 放置 到 
一 个 称 为 窗口 的 组 中 ,并 且 所 有 的 段 都 不 需要 等 待 确认 消息 ,就 可 以 作为 一 个 整体 发 送 
出 去 ,这 个 窗口 叫做 发 送 窗 口 发送 端的 发 送 窗 口 值 取 接 收 rwnd 和 拥塞 窗口 cwnd 中 最 
小 的 一 个 。 

在 图 3-2 中 ,所 有 未 被 确认 的 段 都 位 于 窗口 的 左边 ,需要 立即 发 送 的 段位 于 窗口 的 右 
边 。 当 滑动 窗口 的 左 端 到 达 最 右 端 时 就 被 称 为 零 窗 口 , 这 标志 着 数据 传输 的 结束 。 在 图 中 
可 以 看 到 , 段 1 和 段 2 是 由 接收 端 确认 的 段 不 在 窗口 中 , 段 3 和 段 4 已 经 发 送出 去 ,但 还 在 
等 待 确认 ,在 窗口 的 左边 , 段 5、 段 6 和 段 7 是 窗口 序列 中 即将 要 发 送 的 下 一 段 。 当 段 3 被 
确认 释放 后 段 8 就 进入 窗口 右 端 。 这样 当 窗口 中 有 被 确认 的 段 并 释放 后 ,窗口 就 会 向 前 滑 
动 。 滑 动 窗口 确保 了 发 送 计算 机 能 够 传输 最 大 数据 量 的 段 。 但 是 当 接收 端 不 能 容纳 大 量 数 
据 段 的 话 ,就 会 发 生 拥 塞 。 因 此 ,接收 端 必须 根据 自己 所 能 接收 和 缓冲 的 数据 大 小 ,控制 发 
送 端 计算 机 的 窗口 大 小 ,接收 端 将 在 确认 段 TCP 头 部 的 Window 字段 中 指定 窗口 的 大 小 。 
发 送 端 收 到 这 个 信息 后 ,可 以 调整 自己 的 窗口 尺寸 。 


5. 延迟 机 制 
当 发 送 端 发 送 一 个 很 大 的 段 从 而 阻塞 了 接收 端的 缓冲 区 的 时 候 , 接 收 端 就 会 发 送 一 个 
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DO OO Oe © 


—— E. 
需要 立即 发 送 


等 待 确认 窗口 滑动 


999oeoga 


需要 立即 发 送 


分 段 3 被 确认 


移动 到 窗口 中 
图 3-2 


非常 小 的 窗口 应 答 , 于 是 发 送 端 就 发 送 很 小 的 数据 段 , 这 样 造成 网 络 资源 利用 率 低 ,为 了 解 
决 这 个 问题 ,TCP 用 Nagle 算法 .限制 发 送 端 一 收 到 确认 就 立即 传输 数据 ,发 送 端 不 传送 小 
数据 段 ,而 是 将 要 发 送 的 段 积聚 成 一 个 大 段 ,这 个 大 数据 段 的 尺寸 接近 MSS 值 时 ,就 一 下 子 
发 送 此 段 。 这 个 方法 通过 积累 大 的 数据 段 来 缓解 接收 端的 缓冲 区 阻塞 ,让 接收 方 在 接收 数 
据 前 清空 缓冲 区 ,从 而 通告 一 个 大 的 窗口 。 同 样 ,接收 端 在 收 到 数据 段 后 也 不 立即 发 送 确 
认 ,这 个 延迟 ,让 接收 端 清空 自己 的 一 半 缓 冲 区 后 ,再 发 送 确 认 消息 ,表明 收 到 了 所 有 的 数据 
段 。 这 样 ,更 大 的 窗口 就 能 被 通告 。 

注意 : 建议 延迟 最 大 为 500ms。 


6. 估计 往返 时 间 
为 了 确定 超时 值 ,需要 计算 往返 样本 时 间 的 加 权 平 均值 。 
7. 持续 定时 器 


当 缓冲 区 空间 满 时 ,接收 端 会 发 送 一 个 窗口 为 0 的 确认 。 这 个 确认 使 得 发 送 端 停止 继 
续 传送 数据 ,这 时 ,TCP 就 通过 在 发 送 端 上 创建 一 个 持续 定时 器 ,在 这 个 定时 器 到 期 后 ,发 
送 一 个 新 的 窗口 探测 数据 包 ,等 待 接收 端 返 回 带 有 一 个 窗口 信息 确认 ,如 果 这 个 确认 中 的 窗 
口 为 0, 那么 继续 下 个 新 的 持续 定时 器 ,如 果 非 0, 发 送 端 就 可 以 开始 发 送 数据 了 。 


8. 保持 活动 定时 器 


由 于 TCP 是 面向 连接 的 ,因此 ,会 出 现 连接 建立 后 ,没有 数据 传输 这 种 情况 。 这 时 就 需 
要 保持 活动 定时 器 来 检测 这 种 连接 ,并 释放 连接 。 


9. 拥塞 窗口 


拥塞 窗口 (cwnd) ,拥塞 控制 的 关键 参数 . 它 描述 发 送 端 在 拥塞 控制 情况 下 一 次 最 多 能 
发 送 数 据 包 的 数量 。 发 送 端 的 发 送 窗口 值 不 仅 取决 于 接收 端的 可 用 缓存 空间 (rwnd, 接 收 
窗口 ), 还 取决 于 网 络 的 拥塞 。 为 了 处 理 与 拥塞 相关 的 问题 ,需要 在 发 送 系 统 中 使 用 “拥塞 窗 
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口 ”。 当 发 现 超时 或 收 到 3 个 相同 ACK 确认 帧 时 ,就 发 生 了 拥塞 ,这 时 ,发 送 端 通过 减少 自 
己 的 发 送 操作 来 做 出 响应 ,以 便 处 理 拥塞 ,发送 端 创建 一 个 叫做 拥塞 窗口 的 窗口 , 段 就 基于 
拥塞 窗口 来 发 送 ,而 不 是 基于 接收 端 所 通告 的 接收 窗口 。 


10. 慢 启动 和 拥塞 避免 


在 现实 的 网 络 中 ,发 送 端 和 接收 端 之 间 存 在 多 个 路 由 器 和 速率 较 慢 的 链 路 , 当 一 个 快速 
链 路 向 一 个 慢 速 链 路 发 送 数 据 时 ,会 出 现 路 由 器 来 不 及 转发 这 些 数 据 ,这 些 数据 占据 了 路 由 
器 的 缓存 ,由 于 缓存 资源 有 限 , 当 缓存 中 的 数据 长 度 达 到 规定 的 最 大 长 度 时 ,所 有 到 来 的 报 
文 都 被 丢弃 。 对 于 TCP 报 文 ,由 于 大 量 的 报 文 被 丢弃 ,将 造成 TCP 超时 ,从 而 引发 TCP 的 
慢 启动 和 拥塞 避免 机 制 ,使 TCP 减少 报 文 的 发 送 。 

拥塞 避免 算法 和 慢 启 动 算法 需要 对 每 个 连接 维持 两 个 变量 : 一 个 拥塞 窗口 ewnd 和 一 
个 慢 启动 门限 ssthresh。 

慢 启 动 算法 在 cwnd<ssthresh 时 使 用 ,拥塞 避免 算法 在 cwnd>ssthresh 时 使 用 。 当 
cwnd 和 ssthresh 相等 时 ,发 送 端 既 可 以 使 用 慢 启动 也 可 以 使 用 拥塞 避免 。 

慢 启动 算法 初始 设置 cwnd 为 1 个 报 文 段 即 cwnd 二 1MSS, 此 后 每 收 到 一 个 确认 ,cwnd 
就 指数 方式 增长 : 发 送 1 个 报 文 段 ,然后 是 2 个 ,接着 是 A 个 …… 

拥塞 避免 算法 要 求 每 次 收 到 一 个 确认 时 将 cwnd 增加 1/cwnd。 与 慢 启动 的 指数 增加 
比 起 来 ,这 是 一 种 加 性 增长 (additive increase) 。 

拥塞 避免 算法 和 慢 启动 算法 是 两 个 目的 不 同 、 独 立 的 算法 。 在 实际 中 这 两 个 算法 通常 
在 一 起 实现 。 

慢 启动 和 拥塞 避免 工作 流程 如 下 : 

CD 对 一 个 给 定 的 连接 ,初始 化 cwnd 为 1 个 报 文 段 ,ssthresh 为 65 535 个 字 节 。 

(2) TCP 发 送 端 发 送 的 数据 不 能 超过 cwnd 和 接收 方 通告 窗口 的 大 小 。cwnd 是 发 送 
方 使 用 的 流量 控制 ,而 通告 窗口 则 是 接收 方 进 行 的 流量 控制 。 前 者 是 发 送 方 感受 到 的 网 络 
拥塞 的 估计 ,而 后 者 则 与 接收 方 在 该 连接 上 的 可 用 缓存 大 小 有 关 。 

(3) 当 拥 塞 发 生 时 (超时 或 收 到 重复 确认 ),ssthresh 被 设置 为 当前 窗口 大 小 的 一 半 
(cwnd 和 接收 方 通告 窗口 大 小 的 最 小 值 .但 最 少 为 2 个 报 文 段 )。 如 果 是 超时 引起 了 拥塞 ， 
TW cwnd 被 设置 为 1 个 报 文 段 ( 这 就 是 慢 启动 ) 。 

(4) 当 新 的 数据 被 对 方 确认 时 ,就 增加 cwnd, 但 增加 的 方法 依赖 于 是 否 正在 进行 慢 启 
动 或 拥塞 避免 。 如 果 cwnd 小 于 或 等 于 ssthresh, 则 正在 进行 慢 启动 .否则 正在 进行 拥塞 避 
免 。 慢 启动 一 直 持 续 到 cwnd 等 于 ssthresh 时 停止 ,然后 转 为 执行 拥塞 避免 。 慢 启动 时 ， 
cwnd 旦 指数 增加 ,拥塞 避免 时 ,cwnd 呈 线 性 增加 也 叫 加 法 增加 。 

举 个 以 上 工作 流程 的 例子 。 假 设 当 cwnd 为 32 个 报 文 段 时 就 会 发 生 拥 塞 。 于 是 设置 
ssthresh 为 16 个 报 文 段 .而 cwnd 为 1 个 报 文 段 。 在 时 刻 0 发 送 了 一 个 报 文 段 ,并 假定 在 时 
A 1 接收 到 它 的 ACK ,此 时 cwnd 增加 为 2。 接 着 发 送 了 2 个 报 文 段 , 并 假定 在 时 刻 2 接收 
到 它们 的 ACK. FÆ cwnd 增加 为 4, 就 这 样 .接收 到 下 一 个 ACK 时 ,cwnd 就 增加 为 8 ,就 
这 样 每 收 到 一 个 ACK, cwnd 就 指数 增加 。 这 种 指数 增加 算法 一 直 进行 到 cwnd 等 于 
ssthresh 时 才 停 止 ,从 该 时 刻 起 进入 拥塞 避免 ,cwnd 以 线性 方式 增加 ,这 种 方式 是 在 一 个 往 
返 时 间 内 (不 管 在 这 个 RTT 中 收 到 了 多 少 个 ACK) ,cwnd 最 多 增加 1 个 报 文 段 。 


22 
n CP/IP 协议 深入 分 析 


11. 快速 重 传 


如 果 收 到 一 连 串 3 个 或 3 个 以 上 的 重复 ACK ,就 非常 可 能 是 一 个 报 文 段 丢 失 了 。 这 时 
就 重 传 丢 失 的 数据 包 文 段 ,而 无 需 等 待 超时 定时 器 溢出 。 这 就 是 快速 重 传 。 


313 TCP 数 据 包 分 析 
介绍 完了 TCP 的 原理 ,下 面 来 看 一 个 FTP 应 用 的 TCP 包 的 实例 。 
1. Source port 


它 指 的 是 应 用 程序 所 用 的 16 位 TCP 端口 号 
如 图 3-3 所 示 ,一般 FTP 会 开放 Port 21 用 来 接受 控制 命令 , 当 传 送 数 据 的 时 候 ,FTP 
Server 会 自动 打开 Port 20 通过 该 端口 传送 。 从 图 中 看 到 源 端 口 为 20。 


File Ei Mew Go Captwe Analyze Statisties Help 


@] Si * 1S] BS| 守 | 后卫 | ele HDX S] 
rrr 


9 C Ttp-data > 1365 [ACH 
71 10.933931) — 192.168.2.2 192.166.3.2 FTF-DATA FTP Data: 58 bytes 
z 


E Frame 20 (60 bytes on wire, 60 bytes captured) 

B) Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 

@ Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
E Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 1, Ack: 1 


Destination port: 1365 (1365) 
Sequence number: 1 (relative sequence number) 
Acknowledgenent number: 1 ^ (relative ack number) 
Header length: 20 bytes 
B Flags: 0x00:0 (ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
= Acknowledgment: Set 
= Push: Not set 
= Reset: Not set 
= Syn: Not set 
= Fin: Not set 
Window size: 17640 
Checksum: Oxff88 (correct) 
[SEQ/ACK analysis] 


000 00 60 08 8 d2 19 00 Ob 46 59 6a 80 08 O0 45 00 
10 00 28 19 ce 40 OO 7f O6 5b L1 cO a8 02 O2 cO a8 
Q5 55 el c1 ed c3 05 98 Oa 88 50 10 

8€ 00 00 00 O0 00 CO 00 00 


2. Destination port 


它 指 的 是 目的 系统 上 的 应 用 程序 所 用 的 16 位 TCP 端口 号 。 
如 图 3-4 所 示 ,客户 端 使 用 端口 1365 用 来 接受 数据 。 


3. Sequence number 


如 图 3-5 Brzs ,通常 指定 分 配 到 当前 信息 中 的 数据 首 字 节 的 序号 。 在 连接 建立 阶段 ,该 
字段 用 于 设置 传输 中 的 初始 序列 号 。 
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ftp-data > 1365 [AC 
FTF-DATA FTP Data: 58 bytes 


Frame 20 (60 bytes on wire, 60 bytes captured) 
Ø Ethernet II, Src: O 


E Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), se 


Source port: ftp-data (20) 


Sequence number: 1 (relative sequence number) 
Acknowledgenent number: 1 {relative ack number) 
Header length: 20 bytes 


B Flags: 0x0010 (ACK) 


Q... .... = Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 


Acknowledgment: Set 


= Syn: Not set 

= Fin: Not set 
Window size: 17640 
Checksum: Oxff88 (correct) 
[SEQ/ACK analysis] 


00 60 08 8z d2 19 00 Ob 46 59 6a 80 08 00 
00 28 19 ca 40 00 7f 06 5b L1 cO a8 02 02 
03 02 00 14 el cl ed c3 05 98 Oa 88 
44 e8 ff 8E 00 00 00 CO O0 00 


Go Capture Anaye Statisties Help 


@2| Sl+[>] [7 2] ae WEZ PS ES S 
ECLELTEBESETMI 


21 10.939313 — 192.168.2.2 192.166.3.2 FTF-DATA FTP Data: 58 bvtes 


E] Frame 20 (60 bytes on wire, 60 bytes captured) 

E Ethernet II, Src: 00: :99:6a:80, Dst: 00:60:08:82:d2:19 

@ Internet Protocol, Sre Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
El Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 1, Ack: 1 


Source port: ftp-data (20) 
Destination port: 1365 (1365) 
equence number: 1 
Acknowledgement number: 1 (relative ack number) 
Header length: 20 bytes 
0x0010 (ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
= Acknowledgment: Set 


= Syn: Not set 
m = Fin: Not set 

Window siz 17640 

Checksum: Oxff88 (correct) 


HB) [SEQ/ACK analysis] 


000 
010 
1020 
030 


00 60 O8 82 d2 19 00 Ob 46 S9 6a 80 OS OO 45 OO 
00 28 19 ce 40 OO 7f O6 5b L1 cO a8 02 02 -O a8 
03 02 00 14 05 55 DNSWEECNIS] 05 95 Oa 58 50 10 
44 e8 ff 8€ 00 00 00 OO 00 CO OO OO 
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TCP 发 送 的 每 个 字 节 数据 的 给 定 序列 号 都 不 相同 。 当 数据 存储 在 片段 中 等 待 发 送 时 ， 
该 片段 中 数据 的 第 一 个 字 节 的 序列 号 就 放 和 人 Sequence number 字段 。elcledc3 用 十 进 制 表 
示 为 3787 582 915 ,二 进 制 为 1110 0001 1100 0001 1110 1101 1100 0011. 

如 果 将 字 节 流 看 作 在 两 个 应 用 程序 间 的 单 向 流动 , 则 TCP 用 序号 对 每 个 字 节 进行 计 
数 。 序 号 是 32 位 的 无 符号 数 , 序 号 到 达 2” 一 1 后 又 从 0 开始 。 


4. Acknowledgment number 


在 握手 阶段 ,确认 序号 将 发 送 方 的 序列 号 加 1 作为 回答 ,在 数据 传输 阶段 ,确认 序 
号 将 发 送 方 的 序列 号 加 发 送 的 数据 大 小 作为 回答 ,表示 确实 收 到 这 些 数据 ,如 图 3-6 
所 示 。 


Bj Frame 20 (60 bytes on wire, 60 bytes captured) 
Ø Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:60:08:82:d2:19 
B) Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Ost Addr: 192.168.3.2 (192.168.3.2) 
El Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 1, Ack: 1 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 1 La Sequence number) 


Header length: 20 bytes 
日 Flags: 0x0020 (ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
= Acknowledgment: Set 
= Push: Not set 
= Reset: Not set 
O, = Syn: Not set 
.0 = Fin: Not set 
Window size: 17640 
Checksum: Oxff88 (correct) 
© [SEQ/ACK analysis] 


000 00 60 O8 8: d2 19 00 Ob 46 59 Ga 80 O8 O0 45 00 
O10 00 28 19 ce 40 00 7f O6 Sb Ei cO a8 02 02 :0 a8 
020 03 O2 O0 14 05 55 el ci ed c3 S 


5. Header length 
dem 20 个 字 节 ,计算 方法 和 作用 与 IP 报头 相同 ,如 图 3-7 Bron 
6. Flags 


如 图 3-8 所 示 ,这 个 字段 包含 以 下 几 项 。 

。 URG: 紧急 指针 是 否 有 效 。 用 到 的 时 候 值 为 1, 表示 紧急 指针 有 效 。 

。 ACK: 为 1 时 表示 确认 号 (Acknowledgment number) 为 合法 ,为 0 时 表示 数据 段 不 
含 确认 信息 .确认 号 被 忽略 。 
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20 10.937088 -168.2. - š CP ftp-data > 1365 [AC 
FTF-DATA FTP Data: 58 bytes 


Frame 20 (60 bytes on wire, 60 bytes captured) 
Ø Ethernet II, Src: 00: 280, Dst: 00:6C:08:82:d2:19 
E Internet Protocol, Sre Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
El Transmission Control Protocol, Sre Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1, Ack: 1 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 1 (relative sequence number) 
Acknowledgenent number: 1 {relative ack number) 


B Flags: Ox00:0 (ACK) 
O... .... = Congestion Window Reduced (CWR): Not set 
9... * ECN-Echo: Not set 
+0. .... = Urgent: Not set 
seed = Acknowledgment: Set 


E : Not set 
ee 0. = Syn: Not set 
sess eO = Fin: Not set 

Window size: 17640 

Checksum: Oxff88 (correct) 

[SEQ/ACK analysis] 


00 60 O8 8: d2 19 00 Ob 46 59 6a 80 08 O0 45 00 
00 28 19 ca 40 00 7f O6 5b L1 cO a8 O2 O2 -0 a8 
03 02 00 14 O5 55 el cl ed c3 05 98 Oa 88 Hg 10 
44 e8 ff BE 00 00 00 00 00 CO 00 00 


Fas —————————————————  —42 


| nec 


[i| esa x [eoa] alee) oF 2 Qala YD X © 
EDCTTTEERN 


192. REGENT 


Frame 20 (60 bytes on wire, 60 bytes captured) 
© Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 
Œ Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
El Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1, Ack: 1 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 1 (relative sequence number) 
Acknowledgenent number: 1 ^ (relative ack number) 
Header length: 20 bytes 


Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 

Urgent: Not set 

Acknowledgment: Set 


Syn: Not set 

En Fin: Not set 
Window size: 17640 

Checksum: Oxff88 (correct) 
E [SEQ/ACK analysis] 


000 00 60 08 8: d2 19 00 Ob 46 59 6a 80 O8 O0 45 00 
O10 00 28 19 ce 40 00 7f O6 5b Li cO a8 02 O2 -0 a8 
020 03 O2 00 14 05 55 el cl ed c3 O5 98 Oa 88 50 Hg 
030 44 e8 ff BE 00 00 00 00 00 CO 00 00 
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* Push, PUSH 标志 的 数据 ,为 1 时 请 求 的 数据 段 在 接收 方 得 到 后 就 可 直接 送 到 应 
程序 ,而 不 必 等 到 缓冲 区 满 时 才 传 送 。 
* RST: 为 1 的 时 候 , 表 示 请 求 重新 连接 。 用 于 复位 因 某 种 原因 引起 出 现 的 错误 连接 ， 
也 用 来 拒绝 非法 数据 和 请 求 。 如 果 接 收 到 RST 置 位 时 ,通常 发 生 了 某 些 错误 。 
* SYN: 为 1 的 时 候 , 表 示 请 求 建 立 连 接 。 当 建立 一 个 新 的 连接 时 ,SYN 位 变 1。 在 
连接 请 求 中 ,SYN= 二 1, ACK —0; 连接 响应 时 ,SYN= 二 1, ACK 一 1。 即 用 SYN 和 
ACK 来 区 分 Connection Request 和 Connection Accepted。 
* FIN: 为 1 的 时 候 ,表示 释放 连接 ,表明 发 送 方 已 经 没有 数据 发 送 了 。 
注意 : 在 图 3-8 的 Flags 字段 中 还 看 到 了 另外 两 位 ,一 个 是 cwr(congestion window 
reduced), 另 一 个 是 ENC-Echo ,这 两 个 标志 是 在 RFC 3168 中 定义 的 , 它 定 义 了 Flags 字段 
为 8 位 ,为 了 增强 对 ECN(Explicit Congestion Notification) 的 支持 。 而 RFC 793 中 则 定义 
了 Flags 字段 为 6 位 ,就 是 上 面 的 URG.ACK,PSH,RST,SYN,FIN, 


7. Window size 


说 明 发 送 系 统 上 的 可 用 的 接收 缓冲 区 空间 的 数量 ,以 字 节 表示 ,如 图 3-9 所 示 。 


Fie Bi Mew Go 


OCHE eii EEIESEI Ey "IB 
一 -H= 


E Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 1, Ack: 1 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 1 (relative sequence nunber) 
Acknowledgenent number: 1 ^ (relative ack number) 
Header length: 20 bytes 
B Flags: Ox00:0 (ACK) 
Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 


Fin: Not set 


Checksum: Oxff88 (correct) 
El [SEQ/ACK analysis] 


000 00 6008 82 dz 13 00 Ob 46 $9 Ga 80 08 00 45 00 
O10 00 28 19 ce 40 00 7 5b tl cO a8 02 02 -0 a8 
O20 03 02 00 14 05 55 Ili ed ef GS 98 0a 86 10 10 
030 SEMI ff 86 00 00 00 00 00 CO 00 00 


图 39 


TCP 流 控制 的 一 个 主要 部 分 就 是 让 每 个 系统 跟踪 其 他 系统 的 接收 缓冲 区 空间 。 通 告 
一 个 小 的 接收 缓冲 区 , 虚 电路 的 终端 能 够 有 效 地 强迫 另 一 终端 暂时 停止 发 送 数据 ,而 增加 组 
冲 区 大 小 使 得 另 一 终端 能 够 发 送 较 多 数据 而 不 需要 等 待 确认 。 接 收 缓冲 区 的 大 小 存储 在 每 
个 TCP 片段 的 首部 的 window 片段 中 ,这 样 可 以 连续 地 交换 缓冲 区 状态 信息 。 
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8. Checksum 


用 于 存储 TCP 片段 的 校 验 和 ,包括 首部 和 主体 部 分 。 校 验 和 人 允许 目的 系统 可 以 验证 
TCP 片段 的 内 容 并 能 够 测试 可 能 的 破坏 ,如 图 3-10 所 示 。 


20 92.168.2.2 E : TCP tp [ACH 
21 10.939313 — 192.168.2.2 » FTF-DATA FTP Data: 58 bytes 


E Frame 20 (60 bytes on wire, 60 bytes capturi 


El Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1, A 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 1 (relative sequence number) 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 20 bytes 
B Flags: Ox00:0 (ACK) 
Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
Push: Not set 
Reset: Not set 
Syn: Not set 
Fin: Not set 


46 59 6a EO 08 O0 45 00 

5b ktl cO a8 O2 02 cO a8 

0: [3 ed c3 05 98 Oa 88 50 10 
030 44 e8 [MMM 00 00 OO OO 00 CO OO 00 


|[checksum Gop checksum), 2 bytes EL 


图 3-10 


314 TCP 三 次 “握手 ” 


TCP 是 一 个 面向 连接 的 协议 ,无 论 哪 一 方向 另 一 方 发 送 数据 之 前 ,都 必须 先 在 双方 之 
间 建 立 一 条 连接 。 

通常 一 条 TCP 连接 的 建立 ,需要 经 过 常 说 的 三 次 “握手 ”。 

CD 请 求 端 (通常 称 为 客户 ) 发 送 一 个 SYN 报 文 段 指明 客户 打算 连接 的 服务 器 的 端口 ， 
以 及 初始 序号 ISN ,这 个 SYN 段 称 为 报 文 1。 

(2) 服务 器 发 回 包含 服务 器 的 初始 序号 的 SYN 报 文 段 ( 报 文 段 2) 作 为 应 答 。 同 时 ,将 确认 
序号 设置 为 客户 的 ISN 加 1 以 对 客户 的 SYN 报 文 段 进行 确认 。 一 个 SYN 将 占用 一 个 序号 。 

(3) 客户 必须 将 确认 序号 设置 为 服务 器 的 ISN 加 1 以 对 服务 器 的 SYN 报 文 进行 确认 
( 报 文 段 3) 。 

连接 建成 后 ,这 个 连接 将 一 直 保 持 活动 状态 ,直到 超时 或 者 任何 一 方 发 出 一 个 FIN( 结 
束 ) 信 号 下 面 通过 实例 来 看 看 三 次 “握手 ”的 过 程 。 

第 一 次 握手 : 可 以 看 到 192. 168. 3. 2 用 端口 1364 向 FTP 服务 器 192. 168. 2. 2 的 21 端 
口 发 送 一 个 连接 请 求 。 这 个 报 文 段 的 序号 为 0, 如 图 3-11 所 示 。 
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= 


Transmission Control Protocol, Src Port: 1364 (1364), Dst Port: ftp (21), Seq: 0, Ack: 0, 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: O — (relative sequence number) 
Header length: 28 vtae 
B Fims: Ox0002 (SYI 
«Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
= Acknowledgment: Not set 
= Push: Not set 
= Reset: Not set 


G = Fin: Not set 
Window size: 16384 
Checksum: Ox18da (correct) 


Options: (8 bytes) 
Maximum segment size: 1460 bytes 
NOP 


注意 : MSS 字段 为 最 大 报 文 长 度 表 示 TCP 传 往 另 一 端的 最 大 块 数据 的 长 度 。 当 一 个 
连接 建立 时 ,连接 的 双方 都 要 通告 各 自 的 MSS, MSS 默认 值 为 536, 如 果 没 有 分 片 发 生 ， 
MSS 还 是 越 大 越 好 ,MSS 值 设置 为 外 出 接口 上 的 MTU 长 度 减 去 固定 的 IP 首部 和 TCP 首 
部 长 度 ,比如 ,一 个 以 太 网 的 MSS 值 可 达 1460 字 节 。MSS 字段 仅 出 现在 连接 建立 时 。 

第 二 次 握手 : FTP 服务 器 用 21 端口 向 客户 端 192. 168. 3. 2 的 端口 1364 确认 刚才 的 连 
接 请 求 。 这 个 报 文 段 的 序号 为 0, 确 认 序 号 为 图 3-11 中 客户 端 发 送 的 报 文 段 序号 十 1, 也 就 
是 0 十 1==1, 如 图 3-12 所 示 。 

第 三 次 握手 : 客户 端 发 送 一 个 带 序号 的 报 文 对 服务 刚才 发 送 的 报 文 进行 确认 。 这 次 发 
送 的 报 文 的 序列 号 为 1, 确 认 序号 为 图 3-12 中 服务 器 发 送 的 报 文 段 序号 十 1, 也 就 是 0 十 1， 
如 图 3-13 Bras. 


3.1.5 TCP 连接 的 终止 


一 个 连接 需要 经 过 4 次 “握手 ”。 这 由 TCP 的 半 关 闭 (half-close) 造 成 的 。 由 于 一 
个 TCP 连接 是 全 双 工 的 ( 即 数据 在 两 个 方向 上 能 同时 传递 ) ,因此 每 个 方向 必须 单独 地 进行 
关闭 ,这 个 原则 就 是 当 一 方 完 成 它 的 数据 发 送 任务 后 就 能 发 送 一 个 FIN 来 终止 这 个 方向 连 
接 。 当 一 端 收 到 一 个 FIN., 它 必须 通知 应 用 层 另 一 端 已 经 终止 了 那个 方向 的 数据 传送 。 发 
送 FIN 通常 是 应 用 层 进行 关闭 的 结果 。 
收 到 一 个 FIN 只 意味 着 在 这 一 方向 上 没有 数据 流动 。 由 于 TCP 连接 是 全 双 工 的 ,一 
个 TCP 连接 在 收 到 一 个 FIN 后 仍 能 发 送 数据 。 而 这 对 利用 半 关 闭 的 应 用 来 说 是 可 能 的 ， 
尽管 在 实际 应 用 中 只 有 很 少 的 TCP 应 用 程序 这 样 做 。TCP 连接 的 终止 过 程 如 下 。 
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&| &[e[e] ses 2| Qala e 


Destination. 


2364 > ftp [SYN] sec 
1364 » ftp 区 9 Sec |z| 


E Frame 4 (62 bytes on wire, 62 bytes captured) 

E Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:60:08:82:d2:19 

Bl Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
4 


E Transmission Control Protocol, Src Port: ftp (21), Dst Port: 1364 (1364), Seq: 0, Ack: 1, L 
Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: O (relative sequence nunber) 
Acknowledgement number: 1 (relative ack number) 
Header length: 28 bytes 
日 Flags: 0x00:2 (SYN, ACK) 
0... see = Congestion Window Reduced (CWR): Not set 
.0 + = ECN-Echo: Not set 
4 Urgent: Not set 
Acknowledgment: Set 
s. = Push: Not set 
Be Reset: Not set 
eee cele = Syn: Set 
sees 1.0 = Fin: Not set 
Window size: 17640 
Checksum: Ox7082 (correct) 
Options: (8 bytes) 
Maximum segment size: 1260 bytes 
NOP 


00 60 O8 8z d2 19 00 Ob 46 59 6a 80 08 00 45 00 

OO 30 19 a5 40 00 7f O6 Sb ce cO a8 02 02 :0 a8 . 

03 02 Q0 15 05 54 el 97 c2 Ge OS 6d 99 1b 70 12  .... 

44 e8 70 82 00 00 02 O4 O4 ec O1 01 04 02 Depress o 


1010: 101 M 0 


192.168.3.2 192.166.2.2 1364 » ftp [SYN] Sec 
192.168.2.2 192.166.3.2 ftp » 1354 [SYN, ACK 
168.3.2 192.168. 2 36 CK] Sed | /| 


E Frame 5 (54 bytes on wire, 54 byces captured) 
E Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:6a:80 
Bl Internet Protocol, Src Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
m Transmssion Contro 2 2 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 1 (relative sequence number) 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 20 bytes 
Eb Flags: 0x00:0 (ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
Push: Not set 


20 
Window size: 17640 
Checksum: Ox9c7e (correct) 
@ [SEQ/ACK analysis] 


000 00 Ob 46 95 6a 80 00 60 08 &2 d2 19 08 00 45 OQ  ..F.j.- 
O10 00 28 50 bl 40 00 80 06 23 ca cd a8 03 02 038 (Pè. 


1010: 101 ME 6 


图 3-13 
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CD 首先 进行 关闭 的 一 方 ( 即 发 送 第 一 FIN ,一 般 是 客户 端 ) 将 执行 主动 关闭 ,而 另 一 方 
( 收 到 这 个 FIN) 执 行 被 动 关闭 。 通 常 一 方 完成 主动 关闭 而 另 一 方 完成 被 动 关 闭 。 比 如 输 
入 bye 命令 后 即 导致 TCP 客户 端 发 送 一 个 FIN ,用 来 关闭 从 客户 端 到 服务 器 的 数据 传送 。 

(2) 当 接 受 方 ( 服 务 器 端 ) 收 到 关闭 方 发 送 的 FIN,TCP 服务 器 向 应 用 程序 传送 一 个 文 
件 结束 符 ,然后 它 发 回 一 个 ACK ,确认 序号 为 收 到 的 序号 加 1, 和 SYN 一 样 ,一 个 FIN 将 占 
用 一 个 序号 。 

(3) 服务 器 程序 就 关闭 它 的 连接 , 它 的 TCP 端 发 送 另 一 个 FIN. 

(4) 当 客户 端 收 到 服务 端 发 送 的 FIN ,客户 就 必须 发 回 一 个 确认 ,并 将 确认 序号 设置 为 
收 到 序号 加 1。 

下 面 通过 实例 来 看 看 终止 一 个 TCP 连接 所 要 经 过 的 四 次 “握手 ”。 

在 客户 端 上 输入 quit 来 终止 FTP, 如 图 3-14 所 示 。 


6 053 E 192 T uest: QUIT 
97 99.761156 192.166.3.2 FTF Response: 221 Goodby 
98 99.766428 192.168.2.2 1364 > ftp [FIN, ACk [7 


E Transmission Control Protocol, Src Port: 1364 (1364), Dst Port: ftp (21), Seq: 186, Ack: 5 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 186 ^ (relative sequence number) 
[Next sequence number: 192 (relative sequence number)] 
(relative ack number) 


Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 


i 17063 
Checksum: Oxf403 (correct) 
File Transfer Protocol (FTP) 


08 &2 d2 19 08 00 45 00 

23 Sc cO a8 03 02 cO a8 

99 cd el 97 c4 dO 50 18 
0030 42 a7 f4 03 00 00 51 55 49 54 Od Oa 


File: FTP 31 KB 000100 


第 一 次 握手 : 客户 端 用 端口 1364 对 FTP 服务 器 端口 21 发 送 一 个 序号 为 192 的 FIN 
报 文 ,如 图 3-15 所 示 。 

第 二 次 握手 : FTP 服务 器 端 用 端口 21 对 客户 端的 端口 1364 发 送 一 个 序号 为 592 的 确 
认 报 文 , 它 的 ACK 序号 为 193(192 十 1) ,如 图 3-16 所 示 。 

第 三 次 握手 : 服务 器 端 又 发 送 了 一 个 序号 为 592 的 FIN 报 文 ,可 以 看 到 这 个 报 文 的 序 
号 和 ACK 序号 和 上 面 一 个 报 文 一 样 ,如 图 3-17 所 示 。 

第 四 次 握手 : 客户 端的 端口 21 发 送 一 个 序号 为 193 的 确认 报 文 , 它 的 ACK 序号 为 593 
(592 十 1) ,如 图 3-18 所 示 。 
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x/@12] 84/9] 2/72] QlQlal | 


/| à Expression 


1364 » ftp [FIN, 
192.168.2. 192.166.3.2 ftp » 1354 [ACK] Sec 
192.168.2 192.166.3.2 ftp > 1354 [FIN, ACk [7] 


E Frame 98 (54 bytes on wire, 54 bytes captured) 
M Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:0k:46:99:6a:80 
@ Internet Protocol, Src Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
EP Transmission Control Protocol, Src Port: 1364 (1364), Dst Port: ftp (21), Seq: 192, Ack: 592, 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 192 (relative sequence number) 
Acknowledgement number: 592 (relative ack number) 
Header length: 20 bytes 
E Flags: 0x0011 (FIN, ACK) 
Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
Urgent: Not set 
= Acknowledgment: Set 
= Push: Not set 
Reset: Not set 
Syn: Not set 


Window size: 17049 
Checksum: Ox9bbe (correct) 
© [SEQ/ACK analysis] 


00 Ob 46 95 6a 80 00 60 08 62 d2 19 08 00 45 00  ..F.j.. 
Q0 28 50 da 40 00 80 O6 23 ei cO a8 03 02 -0 a8 (P28... 
02 02 05 54 00 15 OS 6d 99 ca el 97 c4 de 50 图 

42 99 9b be 00 00 D 


1010: 101 M 0 


192.168.3. 


354 Tack | Sed 
100 99.767103 54 [FIN, ACK} /| 


一 


iFrame 99 (60 bytes on wire, 60 bytes captured) 
E Ethernet II, Src: 00:0b:46:99 , Dst: 00:6C:08:82:d2:19 
BlInternet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
E Transmission Control Protocol, Src Port: ftp (21), Dst Port: 1364 (1364), Seq: 592, Ack 
Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: 592 (relative sequence number) 
Acknowledgement number: 193 ^ (relative ack number) 
Header length: 20 bytes 
Eb Flags: 0x00:0 (ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
Push: Not set 


Checksum: Ox9a2e (correct) 
E [SEQ/ACK analysis] 


00 60 O8 8z d2 19 00 Ob 46 59 6a 80 08 00 45 00 ++ F3 
00 28 1c ad 40 00 7f 06 58 c7 cO a8 02 02 -0 a8  .(..6... X... 
03 02 Q0 15 05 54 el 97 c4 ce 05 6d 99 db 50 10 x 

44 29 9a 2e 00 00 00 00 00 CO OO 00 


1010: 101 MO 
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z 


E Frame 100 (60 bytes on wire, 60 bytes captured) 
B) Ethernet II, Src: 00+ a:80，Dst: 00:6C:08:82:d2:19 
Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
El Transmission Control Protocol, Src Port: ftp (21), Dst Port: 1364 (1364), Seq: 592, Ack: 193, 
Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: 592 (relative sequence number) 
Acknowledgement number: 193 ^ (relative ack number) 
Header length: 20 bytes 
: Ox00:1 (FIN, ACK) 
= Congestion Window Reduced (CR): Not set 
* ECN-Echo: Not set 
= Urgent: Not set 
Acknowledgment: Set 
= Pusl Not set 
= Reset: Not set 
Syn: Not set 
= Fin: Set 
window siz 17449 
Checksum: Ox9a2d (correct) 


I m 
TIE 

O00 00 60 08 8: d2 19 00 Ob 46 $9 6a 80 08 00 4500. 

10 00 28 1c a5 40 00 7f 06 58 c6 cO a8 O2 O2 -0 a8 

020 03 02 OO 15 05 54 el 97 c4 ce OS 6d 99 db 50 11 

030 44 29 9a 2c 00 O0 00 00 00 CO 00 00 


File: FTP 31 KB 00139 


99 99.766941 192.168.2.2 ftp » 1354 [ACK] Sec 
100 99.767103 — 192.168.2.2 ftp » 1354 [FIN, ACK 
67150 192.168.3. F 区 


Frame 101 (54 bytes on wire, 54 bytes captured) 
Ø Ethernet II, Src: 00:60:0! 2:19, Dst: 00:0b:46:99:6a:80 
E Internet Protocol, Src Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
Transmission Control Protocol, Src Port: 1364 (1364), Dst Port: ftp (21), Seq: 193, Ack: 593, 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 193 (relative sequence number) 
Acknowledgement number: 593 (relative ack number) 
Header length: 20 bytes 
日 Flags: 0x00:0 (ACK) 
9... = Congestion Window Reduced (CR): Not set 
.0.. = ECN-Echo: Not set 
=ð Urgent: Not set 
Acknowledgment: Set 


Window sizi 
Checksum: Ox9bbd (correct) 
El [SEQ/ACK analysis] 


000 00 Ob 46 95 6a 80 00 60 08 £2 d2 19 08 00 
010 00 28 50 dt 40 OO 80 O6 23 20 cO a8 03 02 
020 02 02 05 54 00 15 O5 6d 99 cb el 97 c4 df 
030 42 99 9b bc 00 00 


CEEE 
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31.6 TCP 传输 中 的 序列 号 分 析 
三 次 握手 期 间 的 序列 号 和 确认 号 


如 图 3-19 所 示 ,客户 端 192. 168. 3. 2 RIX TCP SYN 请 求 连 接 ,Sequence number 字段 
为 0, 这 个 值 是 逻辑 值 ,实际 值 可 以 看 图 3-19 最 下 面 灰色 部 分 的 十 六 进 制 值 056d991a, 转 换 
成 十 进 制 数 为 91 068 698。 


fie Ei Mew Go Capture Analyze Statisties Help 


@] Sil * el B14] 2412] QSIG 到 四 国光 本 
ml l[Asteesen- [sen] on] 


64 > ftp [SYN] Sec 
ftp > 1354 [SYN, si 


@ Frame 3 (62 bytes on wire, 62 bytes captured) 
Ø Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:6a:80 


B) Internet Protocol, Src Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
E Transmission Control Protocol, Src Port: 1364 (1364), Dst Port: ftp (21), Seq: 0, Ack: O, Len 
Source port: 1364 (1364) 
Destination port: ftp (21) 


Header length: 28 bytes 
grises: 0x0002 (SYN) 
* Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
= Acknowledgment: Not set 
= Push: Not set 


.0 = Fin: Not set 
window size: 16384 
Checksum: Oxi8da (correct) 
E Options: (8 bytes) 


000 00 Ob 46 95 6a 80 00 60 O8 £2 d2 19 O8 O0 4 
O10 00 30 50 bC 40 OO 80 O6 23 c3 cO a8 03 O2 = 
1020 92 02 05 54 00 15 SHNIINEGURE OO 00 00 00 7 
030 40 O0 18 da 00 00 4 01 01 04 02 


|[Fequence number top seq). 4 bytes [P2101 0: IMO 


接 下 来 服务 器 端 192. 168. 2. 2 发 送 TCP SYN + ACK, 4 K| 3-20 所 示 , Sequence 
number 字段 为 0, 这 个 值 也 是 逻辑 值 ,实际 值 可 以 看 最 下 面 灰 色 部 分 的 十 六 进 制 值 
el97c28e, 转 换 成 十 进 制 数 为 3784819342。Acknowledgement number 字段 逻辑 值 为 1, 实 
际 的 十 六 进 制 值 为 056d991b ,转换 为 十 进 制 数 为 91 068 699 ,对 前 面 的 数据 包 的 确认 即 上 一 
个 包 的 Sequence number 十 1。 

如 图 3-21 所 示 ,客户 端 192. 168. 3. 2 发 送 ACK ,Sequence number 逻辑 值 为 1, 十 六 进 
制 值 056d991b ,是 客户 端 发 送 第 一 个 包 的 Sequence number {A 十 1。Acknowledgement 
number 逻辑 值 为 1. 十 六 进 制 值 为 el197c28{, 转 换 为 十 进 制 数 为 3 784 819 343, 是 对 服务 器 
端 发 送 的 包 的 确认 ,上 一 个 包 的 Sequence number 值 为 e197c28e。 
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Bl Frame 4 (62 bytes on wire, 62 bytes captured) 

Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 
@ Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
El Transmission Control Protocol, Src Port: ftp (21), Dst Port: 1364 (1364), Seq: 0, Ack: 1, Len 

Source port: ftp (21) 

Destination port: 1364 (1364) 

Acknowledgement number: 1 ^ (relative ack number) 
Header length: 28 bytes 

日 F1ags: Ox00:2 (SYN, ACK) 

Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
- Push: Not set 
.. = Reset: Not set 
. ed. = Syn: Set 
sess e.O = Fin: Not set 

Window size: 17640 

Checksum: 0x7082 (correct) 
Options: (8 bytes) 

Ei [SEQ/ACK analysis] 


EM) 


TIT 
000 00 60 08 8 d2 19 00 Ob 46 59 6a 80 08 00 45 OO ~ 
O10 00 30 19 a5 40 00 7f O6 5b ce cO a8 O2 O2 :0 a8 .0 


020 03 02 O0 15 05 54 gumman 0° 6d 99 1b 70 12... 
030 44 eg 70 82 00 00 ec 01 01 04 02 D.p. 


[Sequence number top seq). 4 bytes E 


5 192.16 
0.002963 ^ 192.168.2. 192.166.3.2 
0.153724 — 192.168.3.2 192.166.2.2 


Frame 5 (54 bytes on wire, 54 bytes captured) 
E Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:6a:80 
El Internet Protocol, Src Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
Transmission Control Protocol, Src Port: 1364 (1364), Dst Port: ftp (21), Seq: 1, Ack: 1, Len 
Source port: 1364 (1364) 
Destination port: ftp (21) 
e number 
Acknowledgenent number: 1 (relative ack number) 
Header length: 20 bytes 
E Flags: 0x00:0 (ACK) 
Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
Acknowledgment: Set 
Push: Not set 
Reset: Not set 
Syn: Not set 
...0 = Fin: Not set 
Window size: 17640 
Checksum: Ox9c7e (correct) 
© [SEQ/ACK analysis] 


00 Ob 46 9S 6a 80 00 60 08 £2 d2 19 08 00 
00 28 50 bi 40 OO 80 06 23 ca cO a8 03 02 
02 02 OS 54 OO 15 SENELNEKENBUS c1 97 c2 sf 
44 e8 9c 7e 00 00 


[Sequence number top sea). 4 bytes 101 D: 101 MeO 


图 321 


第 3 
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图 3-22 开始 传输 数据 , Sequence number 的 十 六 进 制 值 为 elcledc3 ,转换 十 进 制 数 为 


3 787 582 915. Acknowledgement number 的 十 六 进 


制 值 为 05980a88。 逻 辑 Sequence 


number 为 1 ,表示 发 送 数据 段 的 第 一 个 字 节 序号 为 1, 逻辑 上 next sequence number 为 59， 


表示 下 一 个 传输 字段 从 第 59 个 字 节 开始 传输 ,这 次 总 共 传 送 58 个 字 节 。 
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a 24) eS] 8l¢]>] 2/2] ela] KDE 
pm oneson. cen] o] 


FTF-DATA FTP Data: 58 bytes = 
x : s [4 


FTF-DATA FTP Data: 1260 byte: 


二 


Frame 21 (112 bytes on wire, 112 bytes capturec) 
E Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 
@ Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 


E] Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), 


Source port: ftp-data (20) 
Destination port: 1365 (1365) 


[Next sequence number: 59 — (relative sequence number)] 
Acknowledgement number: 1 {relative ack number) 
Header length: 20 bytes 
E Flags: Ox00:8 (PSH, ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
= Acknowledgment: Set 
= Push: Set 
= Reset: Not set 
0. = Syn: Not set 
.0 = Fin: Not set 
Window size: 17640 
Checksum: Oxcd94 (correct) 
E FTP Data 


(192.168.3.2) 
Seq: 1, Ack: 1 


图 3-23 中 ,继续 发 送 数据 ,这 个 


020 03 02 00 14 05 55 
030 44 eB cd 94 00 00 
O40 20 20 90 31 20 7» 73 65 72 $ 
OSO 6f 75 70 2C 20 20 20 20 202 


数据 包 的 Sequence number 的 十 六 进 制 值 为 elcledfd， 


转换 为 十 进 制 数 为 3 787 582 973 , 减 去 上 面 的 Sequence number 差 为 58 ,表示 传输 了 58 个 
字 节 ,可 以 看 到 这 个 数据 包 的 Sequence number 逻辑 值 是 59. B 1--58 — 59.37 4H E. Next 
Sequence number 值 为 1319 .表示 下 一 个 传输 字段 从 第 1319 个 字 节 开始 传输 ,这 次 总 共 传 
输 1260 PFT. 


字 节 。 


图 3-25 中 Acknowledgement number 为 1381 ,表示 收 到 了 1380 


图 3-24 中 ,继续 发 送 数据 ,Sequence number 逻辑 值 是 1319. 逻 辑 上 Next sequence 
number 值 为 1381, 表 示 下 一 个 传输 字段 从 第 1381 个 字 节 开始 传输 ,这 次 


总 共 传 输 的 62 个 


个 字 节 。 这 里 的 1381 


数据 是 逻辑 上 的 ,如 果 有 兴趣 的 话 .可 以 用 真实 的 十 六 进 制 数 来 减 去 前 面 的 序号 ,得 出 的 结 
论 是 一 样 的 。 是 对 前 面 三 段 数据 的 确认 58 十 1260 十 62 十 1 二 1381,TCP 在 数据 传输 中 ,不 用 


对 每 段 数据 进行 


确认 ,可 以 用 一 个 确认 号 来 确认 前 面 收 到 的 所 有 数据 。 
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Fie ER Veo Go Capture Analyze Statistics Help 


SEHR &[ [v] sex] «jaja 9| 
Fitter: » 


22 10.940056 192.168.2.2 
23 10.940137 192.168.2.2 FTF-DATA FTP Data: 62 bytes 
24 10.940160 — 192.168.3.2 TCF 1365 > ftp-data [ack|/ 


@ Frame 22 (1314 bytes on wire, 1314 bytes captured) 
BHiEthernet II, Src: 00:0b:46:99:6a:80, Dst: 00:60:08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
E Transmission Control Protocol, Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 59, Ack: 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 59 (relative sequence 
[Next sequence number: 1319 (relative sequence number)] 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 20 bytes 
日 Flags: 0x0018 (PSH, ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
= Urgent: Not set 
Acknowledgment: Set 
= Push: Set 
= Reset: Not set 
= Syn: Not set 
= Fin: Not set 
Window size: 17640 
Checksum: Oxb16e (correct) 
@ FTP Data 


Os 5: BEGNEIEC 05 

00 00 64 zd 72 

20 75 73 65 72 20 20 

20 20 20 20 20 z0 20 gup 

32 33 20 31 36 3a 34 Jul 23 1 6:49 ... 
2d 72 77 2d 72 77 2d .-Dw-Dw- rw- 工 


P101 0: 101 M 0 


22 10.940056 — 192.168.2.2 
23 10.940137 — 192.168.2.2 5 
24 10.940160 192.168.3.2 1365 > ftp-data [ACK|7| 


l—— 7 


E Frame 23 (116 bytes on wire, 116 bytes capturec) 
E Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:6C:08:82:d2:19 
E Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
E Transmission Control Protocol, Src Port: ftp-deta (20), Dst Port: 1365 (1365), Seq: 1319, Ack 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 


[Next sequence number: 1381 (relative sequence number)] 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 20 bytes 
El Flags: (PSH, ACK) 
= Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
Push: Set 
Reset: Not set 
Syn: Not set 
Fin: Not set 
Window size: 17640 
Checksum: Oxeb68 (correct) 
E FTP Data 


05 98 Oa 

20 20 67 72 6f 75 70 group 

31 39 32 20 41 70 72 19 2 Apr 9 

20 44 69 76 58 2e 50 2003 D ivX.Pro. 

2d 45 43 4c 69 50 53 v5.0.3-E CLiPSE.z 
ip. 


1010: 101 MO 
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a AL MEOE| SEACA 


E Frame 24 (54 bytes on wire, 54 bytes captured) 
E Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:6a:80 
E Internet Protocol, Sre Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
E Transmission Contro! Protocol, Src Port: 1365 (1365), Dst Port: ftp-data (20), Seq: 1, Ack: 1 

Source port: 1365 (1365) 

Destination pee ftp-data (20) 

:1 relative sequence nior) 
er: 13 ve 113] 


Congestion Mim Reduced (CWR): Not set 
ECN-Echo: Not se 

Urgent: Not set 

Acknowledgment: Set 

Push: Not set 

Reset: Not set 


Window size: 17640 
Checksum: Oxfa24 (correct) 
E [SEQ/ACK analysis] 


S 6a 80 00 60 08 82 d2 19 08 00 45 00 
O10 09 28 30 be 40 00 89 OF 23 ci có a8 03 02 20 a6 
020 02 02 05 55 00 14 05 98 Oa 66 GFE 5O 10 
1030 44 e8 fa 24 00 00 


cknowledgement number (op ack), 4 bytes ro Mo 


3.2 UDP 协议 


用 户 数 据 包 协议 (User Datagram Protocol. UDP) 主要 用 来 支持 那些 需要 在 计算 机 之 间 
传输 数据 的 网 络 应 用 ,包括 网 络 视频 会 议 系统 在 内 的 众多 的 客户 /服务 器 模式 的 网 络 应 用 都 
需要 使 用 UDP 协议 。UDP 协议 直接 位 于 IP 协议 的 上 层 。 

前 面 学 过 TCP 协议 , 它 有 一 系列 数据 传送 的 保证 机 制 ,比如 超时 重 传 .每 发 送 一 个 报 文 
段 都 有 一 个 序列 号 等 ,来 保证 数据 安全 到 达 , 不 丢失 ,不 失 序 ,然而 ,UDP 就 没有 这 样 的 保证 
机 制 。 当 计算 机 之 间 利 用 UDP 协议 传送 数据 的 时 候 . 由 于 协议 本 身 不 能 做 出 任何 检测 或 
提示 ,所 以 发 送 方 只 管 发 送 数据 ,而 并 不 确认 数据 是 否 被 对 方 接收 ,因此 就 会 导致 某 些 UDP 
协议 数据 包 在 传送 的 过 程 中 丢失 ,尤其 网 络 质 量 不 令 人 满意 的 情况 下 ,丢失 数据 包 的 现象 会 
更 严重 。 因 此 ,通常 人 们 把 UDP 协议 称 为 不 可 靠 的 传输 协议 。 
那么 既然 UDP 是 一 种 不 可 靠 的 网 络 协议 ,为 什么 还 要 使 用 它 呢 ? 虽然 TCP 协议 中 植 
入 了 各 种 安全 保障 功能 ,但 是 在 实际 执行 的 过 程 中 会 占用 大 量 的 系统 开销 ,无 疑 使 速度 受到 
严重 的 影响 。UDP 由 于 排除 了 信息 可 靠 传递 机 制 ,将 安全 和 排序 等 功能 移交 给 上 层 应 用 来 
完成 , 极 大 降低 了 执行 时 间 ,使 速度 得 到 了 保证 。 

关于 UDP 协议 的 最 早 规范 是 1980 年 发 布 的 RFC768。UDP 协议 在 主流 应 用 中 发 挥 
着 重要 作用 。 

流 媒体 、 实 时 多 媒体 游戏 和 IP 电话 (VoIP) 就 是 典型 的 UDP 应用。 因为 相对 于 可 靠 性 
来 说 ,这 些 应 用 更 加 注重 实际 性 能 .所 以 为 了 获得 更 好 的 使 用 效果 (例如 ,更 高 的 画面 帧 刷新 
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速率 ) 往 往 可 以 牺牲 一 定 的 可 靠 性 (例如 ,会 面 质量 )。 这 就 是 UDP 和 TCP 两 种 协议 的 权衡 之 
处 。 根 据 不 同 的 环境 和 特点 ,两 种 传输 协议 都 将 在 今后 的 网 络 世界 中 发 挥 更 加 重要 的 作用 。 

UDP 报 文 的 格式 如 图 3-26 Bros 。 

每 个 UDP 报 文 分 为 两 部 分 : 头 部 和 数据 区 。 报 文 头 
中 包含 16 位 源 端口 号 ,16 位 目的 端口 号 ,16 位 UDP 长 度 
(首部 和 数据 ),16 位 检验 和 ,下 面 分 别 来 解释 这 6 个 字段 
的 含义 和 作用 。 rusos 

源 端口 (Source port) M A ff] 3i; O (Destination port) FREA T 16 位 的 UDP 协议 端口 号 ， 
UDP 协议 与 TCP 协议 一 样 都 用 源 端口 号 来 标明 该 分 段 是 由 本 地 进程 的 哪 一 个 进程 创建 的 ， 
用 目的 端口 号 来 标明 所 请 求 的 服务 类 型 (目的 端的 哪 一 个 应 用 程序 来 响应 该 请 求 )。 通 常用 的 
UDP 的 端口 号 有 DNS 53, BOOTP 67(SERVER)/68(CLIENT) , TFTP 69 fil SNMP 161 等 。 

数据 包 的 长 度 是 指 包括 报头 和 数据 部 分 在 内 的 总 的 字 节 数 。 因 为 报头 的 长 度 是 固定 
的 ,所 以 该 域 主要 被 用 来 计算 可 变 长 度 的 数据 部 分 。 数 据 包 的 最 大 长 度 根据 操作 环境 的 不 
同 而 不 同 。 从 理论 上 说 ,包含 报头 在 内 的 数据 包 的 最 大 长 度 为 65 535 字 节 。 不 过 一 些 实际 
应 用 往往 会 限制 数据 包 的 大 小 ,有 时 会 降低 到 8192 FH., 

UDP 协议 使 用 报头 中 的 校 验 和 来 保证 数据 的 安全 。 校 验 和 首先 在 数据 发 送 方 通过 特 
殊 的 算法 计算 得 出 ,在 传递 到 接收 方 之 后 ,还 需要 再 重新 计算 。 如 果 某 个 数据 包 在 传输 过 程 
中 被 第 三 方 算 改 或 者 由 于 线路 噪音 等 原因 受到 损坏 ,发 送 和 接收 方 的 校 验 计算 值 将 不 会 相 
符 , 因 此 UDP 协议 可 以 检测 是 否 出 错 。 TE UDP 协议 中 校 验 功 能 是 可 选 的 ,如 果 将 其 关闭 
可 以 使 系统 的 性 能 有 所 增强 。 这 与 TCP 协议 是 不 同 的 ,TCP 要 求 必 须 具 有 校 验 和 。 

图 3-27 是 实际 捕获 的 一 个 UDP 包 信 息 ,在 这 个 图 中 可 以 看 到 一 个 UDP 报 文 的 包头 信息 。 


16 位 源 端口 号 | 16 位 目的 端口 号 
16 位 长 度 16 位 校 验 和 
数据 


File Bit Go Capture Analyze Statistics 


i 


-168.2. 192.160.2.2 ead Request, : 
85. 1936035 192. 168. 2. B 192.166.2.3 Data Packet, Block: i 
9 5.536155 — 192.168.2.3 192.168.2.2 Acknowlednement. Rir $ 


二 


国 Frame 7 (62 byes on wire, 62 bytes captured) 
: 0 Dst 08:74 


t Addn 192.168.2.2 (192.169.2.2) 
Ftp (65) 


Destination "porti € (69) 

Lengt! 

Checksum: OxSbb7 (correct) 
国 Trivial File Transfer Protocol 


2 02 c 
Son EEDESECECHEURN O01 0 


rm mm  —— — — 
E 3-27 


ARP 协 议 第 4 章 


4.1 ARP 工作 原理 


ARP 协议 负责 把 IP 地 址 转换 成 网 卡 硬件 地 址 。 

ARP 完成 的 这 个 任务 过 程 是 : 发 送 一 个 广播 ,这 个 广播 包含 了 一 个 指定 
的 IP 地 址 ,要 求 正 在 使 用 这 个 IP 地 址 的 主机 响应 它 的 硬件 地 址 。 使 用 这 个 
IP 的 主机 侦 听 到 这 个 广播 (局 域 网 中 其 他 的 设备 也 会 侦 听 到 ) ,就 会 给 源 端 反 
人 馈 一 个 ARP 响应 。 注 意 这 个 响应 不 再 是 网 络 上 的 广播 ,而 是 直接 发 送 给 那 
个 发 出 请 求 的 主机 。 

ARP 包 直 接 与 数据 链 路 层 通信 ,这 和 IP 包 是 一 样 的 ,但 是 ARP 包 和 IP 
包 是 完全 独立 的 .ARP 的 协议 ID 是 0806 ,而 IP 使 用 的 是 0800, 如 图 4-1 和 
图 4-2 所 示 , 可 以 看 到 ARP 和 IP 都 是 直接 位 于 数据 链 路 层 的 上 层 ,在 数据 链 
路 层 中 有 个 TYPE 字段 ,指明 上 层 协 议 的 类 型 ,可 以 看 到 ARP 为 0x0806 ,IP 
为 0x0800, 

ARP 包含 几 个 字段 ,但 是 其 中 只 有 5 个 字段 是 用 来 提供 ARP 的 整体 功 
能 : 源 端的 硬件 地 址 , 源 端 的 IP 地 址 ,目标 的 硬件 地 址 ,目标 的 IP 地 址 和 一 
个 “消息 类 型 "字段 ,这 个 消息 类 型 字段 用 来 表明 当前 ARP 包 是 一 个 请 求 还 
是 对 请 求 的 一 个 响应 。 

当 一 个 设备 发 送 ARP 请 求 时 , 它 要 填充 4 个 与 地 址 相关 的 字段 中 的 3 
个 , 即 提供 自身 的 硬件 地 址 和 IP 地址 ,还 提供 目标 的 IP 地 址 (因为 目标 的 硬 
件 地 址 是 不 知道 的 ,所 以 这 个 字段 填充 为 0) 。 另 外 , 它 会 设置 消息 类 型 字段 
来 表明 当前 包 是 一 个 ARP 包 , 然 后 在 局 域 网 上 广播 这 个 请 求 ,使 得 所 有 设备 
都 能 侦 听 到 。 一 旦 主机 侦 听 到 针对 自己 的 请 求 (在 ARP 请 求 的 IP 地 址 字段 
中 表明 ) ,就 生成 一 个 响应 报 文 并 反馈 给 请 求 主机 。 响 应 报 文 包 含 本 地 设备 
的 IP 地 址 和 硬件 地 址 ,还 包含 源 发 送 系 统 的 IP 地 址 和 硬件 地 址 ,这 个 响应 
报 文 会 通过 消息 类 型 字段 来 表明 当前 的 报 文 是 一 个 ARP 响应 报 文 ,新 的 
ARP 响应 报 文 不 再 是 广播 发 送 ,会 直接 传输 给 源 端 请 求 者 。 
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File Eit Mew Go Capture Analyze Statisties Help 


a S412 Sl+[>] S912) Ala) 2 SEES 


|Add Expression...| Clear] Apply 


10.61.19.177 Broadcast who has 10.61.19.177 
a:fa:53 10.61.19.177 10.61.19.177 is at chA 


E Frame 5 (42 bytes on wire, 42 bytes captured) 

Ej Ethernet II, Src: 00:13:02:97:4a:83, Dst: ff:ff:ff:ff:ff:ff 
Destination: ff:ff:ff:ff:ff:ff (Broadcast) 
Source: 00:13:02:97:4a:83 (10.61.19.177) 


日 Address Resolution Protocol (request/gratuitous ARP) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (0x0001) 
Sender MAC address: 00:13:02:97:4a:83 (10.61.19.177) 
Sender IP address: 10.61.19.177 (10.61.19.177) 
Target MAC address: 00:00:00:00:00:00 (00:00:00 00:00:00) 
Target IP address: 10.61.19.177 (10.61.19.177) 


000 ff ff ff ff ff ff O0 13 02 57 da 83 
O10 08 OO O6 04 00 O1 00 13 02 57 4a 83 
020 00 00 00 OC 00 00 Oa 3d 13 EL 


[yp (ath type), 2 bvtes rao wo 


10.61.19.177 Broadcast who has 10.61.19.177 
10.61.19.177 Broadcast who has 10.61.19.177 


Frame 4 (342 bytes on wire, 342 bytes captured) 

Ej Ethernet II, Src: 00:0f:f7:67:98:3f, Dst: 00:13:02:97:4a:83 
Destination: 00:13:02:97:4a:83 (10.61.19.177) 
Source: 00:0f:f7:67:98:3f (10.61.19.1) 


@ Internet Protocol, Src Addr: 10.61.19.1 (10.61.19.1), Dst Addr: 10.61.19.177 (10.61.19.177) 
@ User Datagram Protocol, Src Port: bootps (67), Dst Port: bootpc (68) 
B) Bootstrap Protocol 


13 02 97 4a 83 00 OF 
48 1a cS 00 00 ff 11 
1020 bl 00 43 00 44 O1 34 
4f O0 OC 00 00 00 00 
1040 O0 00 OC O0 00 00 13 
Q0 00 OC 00 00 O0 00 


[ype (eth type), 2 bvtes 


4.2 ARP 报 文 结构 


ARP 报 文 由 9 个 字段 组 成 , 包 的 总 大 小 根据 本 地 网 络 媒介 上 使 用 的 物理 地 址 的 大 小 的 
变化 而 变化 。 表 4-1 是 ARP 报 文中 的 字段 。 


a 
#48 ARP h 


R 41 
学 段 字 节 数 说 明 

Hardware Type 2 标识 ARP 实现 在 哪 种 类 型 的 网 络 上 

Protocol Type 2 标识 讨论 的 上 层 协议 信息 
指定 物理 媒介 的 硬件 地 址 的 大 小 ,以 字 节 为 单位 。 因 为 每 个 

Hardware Address Length 1 | 网 络 使 用 的 物理 寻 址 机 制 不 同 ,所 以 ARP 包 中 的 其 他 字段 需 
要 这 个 字段 

Protocol Address Length 1 指定 上 层 协议 地 址 的 大 小 ,以 字 节 为 单位 。IP 的 地 址 总 是 4 

Message Type 2 标识 这 个 ARP 包 的 类 型 (“请 求 ” 或 响应 ”) 

Source Hardware Address 可 变 | 标识 发 送 ARP 广播 的 主机 的 硬件 地 址 

Source IP Address 可 变 | 标识 发 送 ARP 广播 的 主机 的 IP 地 址 

Destination Hardware Address | 可 变 | 标识 响应 ARP 广播 的 主机 的 硬件 地 址 

Destination IP Address 可 变 | 标识 响应 ARP 广播 的 主机 的 IP 地 址 


根据 上 面 的 


1. Hardware Type 


标识 被 请 求 的 硬件 地 址 类 型 。 
地 址 类 型 是 6,ARCnet 的 地 址 类 型 是 7, 如 图 4-3 所 示 。 


字段 ,下 面 用 实际 截获 的 ARP 报 文 来 逐个 分 析 ARP 报 文中 的 字段 。 


DIX-Ethernet 的 地 址 类 型 是 1,IEEE 802. X Ethernet 的 


IP (0x0800) 


Hardware size: 6 
Protocol size: 4 


Opcode: request (0x0001) 


Sender MAC address: 00:60:08 


1364 > ftp [SYM] ams 


:82:d2:19 (192.168.3.2) 


(192.168.3.2) 
:00 :00 (00:00:00. 00:00:00) 


> (192.168.3. 


S t2 d2 19 08 06 IEE 
8 E2 d2 19 cO a8 03 02 
ea 


| 
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2. Protocol Type 


标识 使 用 的 高 层 协 议 。 因 为 ARP 直接 与 物理 媒介 的 数据 链 路 的 接口 通信 ,所 以 它 并 
不 专用 于 IP, 而 是 可 以 让 任何 高 层 协 议 用 来 寻找 与 高 层 协 议 地 址 相关 的 硬件 地 址 。 因 此 ， 
Protocol Type 字段 必须 定义 这 个 请 求 所 指 的 高 层 协 议 , 如 图 4-4 所 示 。 

对 于 Ethernet 网 络 ,IP 的 值 是 十 六 进 制 的 0800( 这 与 十 进 制 的 2048 是 相等 的 )。 


000588 E 5 192.166.3.2 
000608 168.3. 192.168.2.2 


iFrame 1 (42 bytes on wire, 42 byzes capture 
Œ Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
日 Address Resolution Protocol (request) 


Protocol size: 4 
Opcode: request (0x0001) 

Sender MAC address: 00:60:01 :19 (192.168.3.2) 
Sender IP address 

Target MAC address: 00:00 300 (00:00:00 00:00:00) 
Target IP address: 192.168. 192.168.3.1) 


00 60 O8 62 d2 19 08 06 00 O1 
O6 04 00 01 00 60 08 &2 d2 19 cO a8 03 02 
00 OC 00 O0 cO a8 03 C1 


rascal Grp pte yp) a Yt — — — — — EC TM | 
图 4-4 


3. Hardware Address Length 
指定 Source 和 Destination Hardware Address 字段 中 提供 的 硬件 地 址 长 度 ( 以 字 节 表 
示 ) ,如 图 4-5 所 示 。 


192.166.3.2 192.168.3.1 is at OC 
192.166.2.2 1364 > ftp [SYN] Sec| 7. 


rj 


000568 ^ 192.168.3. 
000608 — 192.168.3. 


Frame 1 (42 bytes on wire, 42 bytes captured) 
E Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
El Address Resolution Protocol (request) 

Hardware type: Ethernet (0x0001) 


:19 (192.168.3.2) 
192.168.3.2) 
Target MAC address: 00:00 00:00 (00:00:00 00:00:00) 
Target IP address: 192.168.3.: (192.168.3.1) 


ol 00 60 O8 &2 d2 19 cO a8 03 02 
c0 a8 03 C1 


Hardware size Garp usce) 1 byte. 
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4. Protocol Address Length 


指定 Source 和 Destination Protocol Address 字段 中 找到 的 高 层 协议 地 址 的 长 度 ( 以 字 
节 为 单位 )。 对 于 IP 来 说 ,这 个 值 总 是 4(32 位 /8 二 4 字 节 ), 如 图 4-6 所 示 。 


File Em Mew Go Captue Analyze Statistics Help 


192.168.3.1 is at OC 
1364 > ftp [SYN] Sec|7 


Pj 


Œ Frame 1 (42 bytes on wire, 42 bytes captured) 
E Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
El Address Resolution Protocol (request) 

Hardware type: Ethernet (0x0001) 

Protocol type: IP (0x0800) 

Hardware size: 6 


Opcode: request (0x0001) 

Sender MAC address: 00:60:08:82:d2:19 (192.168.3.2) 
Sender IP address: 192.16 92.168.3.2) 

Target MAC address: 00:00 :00 (00:00:00 00:00:00) 
Target IP address: 192.168.3.: (192.168.3.1) 


O10 08 00 O6 3E OO O: 60 O8 &2 d2 19 cO a8 03 02 


000 FF Ff ff ff ff ff O0 GO OS E2 d2 19 08 06 00 Ol .. m 
020 00 00 00 OC 00 O0 cO a8 03 CL i: 


[Protocol size (ap proto size) 1 byte ro wo 


图 4-6 


5. Message Type 


说 明 这 个 包 的 类 型 。 

ARP 本 身 支 持 两 种 基本 操作 : 请 求 与 某 一 协议 地 址 相关 联 的 硬件 地 址 ,响应 早 些 时 候 
的 请 求 。 同 样 ,RARP 也 支持 请 求 和 响应 操作 的 概念 ,这 和 Inverse ARP 是 一 样 的 。 

Message Type 类 型 和 说 明 如 表 4-2 所 示 。 实 际 的 Message Type 如 图 4-7 所 示 。 

表 4-2 


消息 类 型 类 型 说 明 
1 ARP 请 求 
2 ARP 响应 
3 RARP 请 求 
4 RARP 响应 
8 Inverse ARP 请 求 
9 Inverse ARP 响应 


图 4-7 中 用 Opcode 字段 来 表示 Message Type, 这 里 是 类 型 0x0001, 也 就 是 类 型 1, 这 
是 个 ARP 请 求 报 文 ,这 个 请 求 报 文 中 的 目标 MAC 地 址 栏 为 0。 
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2 0.000588 ^ 192.168.3. 
3 0.000608 ^ 192.168.3. 192.166.2.2 


192.168.3.1 is at OC 
1364 > ftp [SYN] Sec|7 


a 
Frame 1 (42 bytes on wire, 42 bytes captured) 
E Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
日 Address Resolution Protocol (request) 

Hardware type: Ethernet (0x0001) 

Protocol type: IP (0x0800) 

Hardware size: 6 

Protocol size: 


Sender MAC address: 00 
Sender IP addres: 

Target MAC address: 00:00:00 
Target IP address: 192.168.3 


O00 ff ff ff ff ff ff O0 60 08 E2 da 19 08 06 00 01 
010 O8 09 06 04 00 60 O8 E2 d2 19 cO a8 03 02 
020 00 00 00 OC 00 O0 cO a8 03 C1 


|[Dpoode Carp opcode), 2 bytes. irr0:01w 0 


6. Source Hardware Address 


标识 发 送 该 ARP 包 的 主机 的 硬件 地 址 。 该 包 可 以 是 请 求 也 可 以 是 响应 。 

每 个 ARP 交换 过 程 都 包含 "rant 源 包 和 对 这 个 包 的 请 求 的 响应 。Source 
Hardware Address 字段 说 明了 这 个 ARP 包 的 发 送 者 。 如 果 这 个 包 是 ARAT 
段 包含 的 是 发 送 该 请 求 的 设备 的 硬件 地 址 。 如 果 ARP 包 是 一 个 响应 ,那么 这 个 字段 包含 
的 是 发 送 该 响应 的 设备 的 硬件 地 址 ,如 图 4-8 所 示 。 


192.168.3. 
1364 > ftp [SYN] Sec| 7 


El Ethernet II, Src: 00:60:08:82:d2:19, Dst: 
E Address Resolution Protocol (request) 
Hardware type: Ethernet (0x0001) 
IP (0x0800) 


Protocol s 
Opcode: est (0x0001) 


Sender IP address: 192.168.3.2 (192.168.3.2) 
Target MAC address: 00:00:00:00:00:00 (00:00:00 00:00:00) 
Target IP address: 192.168.3.1 (192.168.3.1) 


O0 60 OE 2 d2 19 08 0 
区 EE cO as 03 02 


[Sender MAC address (arp sr ho. mac). 6 bytes EL 


图 4-8 
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7. Source IP Address 


标识 发 送 该 ARP 包 的 主机 的 IP 地 址 。 

每 个 ARP 交换 都 包含 两 个 包 : 源 请 求 和 对 这 个 包 的 请 求 的 响应 。Source IP Address 
字段 说 明了 这 个 ARP 包 的 发 送 者 的 IP 地 址 。 如 果 这 个 包 是 一 个 请 求 ,那么 该 字段 包含 的 
是 发 送 该 请 求 的 设备 的 IP 地 址 。 如 果 ARP 包 是 一 个 响应 ,那么 这 个 字段 包含 的 是 发 送 该 
响应 的 设备 的 IP 地 址 ,如 图 4-9 所 示 。 


. 000000 .168.3.2 Broadcast = 
2 0.000588 192.166.3.2 .168.3. 
0.000608 ^ 192.168.3. 2 192.166.2.2 1364 > ftp [SYN] Sec|7 


二 


E Frame 1 (42 bytes on wire, 42 bytes captured) 
B] Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
El Address Resolution Protocol (request) 

Hardware type: Ethernet (0x0001) 

Protocol type: IP (0x0800) 

Hardware size: 6 

Protocol size: 4 

Opcode: request (ono) 

Sender nic address: 00:60 


00 
Target IP address: 192. 


FF ff ff ff ff ff 00 60 08 E2 da 19 08 mm 
O 60 O8 E2 d2 19 加 [E 8 el 
020 00 00 00 OC 00 OO cO a8 03 C1 


[Bender IP address (arp sro proto PV). 4 bytes jr 101 D: 101 M 0. 
图 4-9 


8. Destination Hardware Address 


标识 该 ARP 包 的 目的 地 的 硬件 地 址 ,这 个 目的 地 可 以 是 一 个 广播 (请 求 中 使 用 ) 或 者 
某 个 特定 地 址 (响应 中 使 用 ) 。 

图 4-10 中 Destination Hardware Address 设 为 十 六 进 制 的 00:00:00:00:00:00, 这 说 明 发 
送 者 不 知道 目的 地 系统 的 硬件 地 址 (说 明 ARP 请 求 一 个 已 知 IP 地 址 对 应 的 硬件 地 址 ) 。 


9. Destination IP address 


标识 ARP 报 文 的 目的 端的 IP 地 址 ,如 图 4-11 所 示 。 

到 此 , 讲 了 ARP 包 中 的 每 个 字段 的 意义 及 作用 . 接 下 来 可 以 看 到 一 个 利用 ARP 来 获 
得 指定 IP 主机 的 MAC 地 址 的 完整 过 程 。 
图 4-12 显示 主机 192. 168. 3. 2 发 送 一 个 ARP 请 求 包 request, 这 是 一 个 广播 ,查找 网 
络 中 192. 168. 3.1 的 MAC 地 址 ,可 以 看 到 , 它 是 通过 一 个 广播 地 址 完成 的 。 
图 4-13 显示 了 一 个 ARP 回应 包 reply, 它 发 送 的 目标 地 址 是 192. 168. 3. 2, 源 地 址 是 
192. 168. 3.1, 可 以 看 到 ARP 包 中 包含 了 192.168.3.1 的 MAC 地 址 。 这 样 ,192. 168. 3. 2 
就 得 到 了 192. 168. 3. 1 的 硬件 MAC 地 址 。 
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File Em Mew Go Cope ae States Hep 


192.168.3. 192.166.3.2 
192.168.3. 192.166.2.2 


E] Frame 1 (42 bytes on wire, 42 bytes captured 
Œ Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
El Address Resolution Protocol (request) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (0x0001) 
Sender MAC address: 00:60:08:82:d2:19 (192.168.3.2) 
Sender IP address: 192.168.3.2 (192.168.3.2) 
00 :60:00_00 :00 :00) 
Target IP address: 192.168.3 (192.168.3.1) 


ooo Tf ff ff ff ff ff 00 GO O8 e2 d2 19 08 06 00 OL 


m 
[O10 08 OO O6 UH 00 60 08 6&2 d2 19 cO a8 03 02 ~ 
Po 00.00 00 00 cO a6 03 Ci Eee 


[aroet MAC address Garp dst hw. mac), 6 bytes [P= 101 0: 11 MEO 


192.168.3. cast J who has 192.168.3.17 
192.166.2.2 


@ Frame 1 (42 bytes on wire, 42 bytes captured) 
Eb Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
E Address Resolution Protocol (request) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (Ox0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (00001) 
Sender MAC address: 00:60:08:82:d2:19 (192.168.3.2) 
Sender IP address: 192.168.3.2 (192.168.3.2) 
Target MAC address: 00 E 


O8 &2 d2 19 08 O6 00 01 
08 &2 d2 19 cO a8 03 02 


图 411 


上 面 讲 的 是 已 知 IP 地 址 利用 ARP 来 获得 该 IP 地 址 的 MAC 地 址 , 接 下 来 看 看 ARP 
的 另 一 个 用 途 复 地 址 检查 ,这 种 ARP I Gratuitous ARP(GARP) 。 当 主机 第 一 次 获 
得 IP 地 址 时 ,会 使 用 自己 的 TP 地 址 作为 目标 地 址 发 送 ARP 请 求 , 以 确定 自己 使 用 的 IP 地 
址 是 否 有 人 在 用 ,如 果 收 到 ARP 响应 则 表明 这 个 IP 地 址 已 经 有 人 使 用 ,这 种 ARP 请 求 称 
为 无 故 ARP、GARP, 如 图 4-14 所 示 。 
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.000000 5 
.000588 192.166.3.2 
.000608 192.166.2.2 


Frame 1 (42 bytes on wire, 42 bytes captured 
Hl Ethernet II, Src: 00:60:08:82:d2:19, Dst: ff:ff:ff:ff:ff:ff 
El Address Resolution Protocol (request) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (0x0001) 
Sender MAC address: 00:60:08:82:d2:19 (192.168.3.2) 
Sender IP address: 192.168.3.2 (192.168.3.2) 
Target MAC address: 00 00 00:00 (00:00:00. 00 :00 :00) 
Target IP address: 192.168.3.: (192.168.3.1) 


192.168.3.1 is at Od 
1364 > ftp [SYN] Sec|7 


Œ Frame 2 (60 bytes on wire, 60 bytes captured) 
Œ Ethernet II, Src: 00:0b:46:99:6a:80, Dst: 00:60:08:82:d2:19 
El Address Resolution Protocol (reply) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: rep'y (0x0002) 
Sender MAC address: 00:01 99:6a:80 (192.168.3.1) 
Sender IP address: 192.168.3.1 (192.168.3.1) 
Target MAC address: 00 82:d2:19 (192.168.3.2) 
Target IP address: 192.168.3.2 (192.168.3.2) 


59 6a 80 O8 Ol Or 
$9 6a 80 cO a8 03 01 
C2 00 00 00 00 00 00 
co 00 00 


图 4-13 


图 4-14 中 ,ARP 是 个 ARP 请 求 , 这 个 ARP 包 的 源 硬件 地 址 (MAC 地 址 ) 是 发 送 主机 
的 MAC 地 址 ,目标 硬件 地 址 (MAC 地 址 ) 使 用 的 是 广播 地 址 (FF-FF-FF-FF-FF-FF); 而 源 
和 目标 协议 地 址 (IP 地 址 ) 都 是 此 发 送 主机 的 IP 地 址 。 表 明 主 机 想 检 测 IP 地 址 10. 61. 19. 2 
是 否 有 人 在 用 。 
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Fie Ei Mew Go Capture Analyze Statistics, Help 


加 se] se[s x] &ja]ay sel 


20 254.775098 10.61.19.2 Broadcast 
23 256.142984 10.61.19.2 Broadcast 


10.61.19.27 


10.61.19.27 
10.61.19.17 


E Frame 18 (60 bytes on wire, 60 bytes captured) 
Hi Ethernet II, Src: 00:04:23 :6f:05:10, Dst: ff:ff:ff :ff :ff:ff 
m Address Resolution Protocol (request/gratuitous ARP) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (0x0001) 
Sender MAC address: 00:04:23:6f:05:10 (10.61.19.2) 
Sender IP address: 10.61.19.2 (10.61.19.2) 
Target MAC address: 00:00:00:00:00:00 (00 
Target IP address: 10.61.19.2 (10.61.19.2) 


ICMP 协 议 第 5 章 


ICMP 不 是 传输 协议 ,也 不 能 用 来 发 送 应 用 程序 数据 ,ICMP 是 消息 控制 
协议 , 它 的 作用 是 发 送 消息 把 网 络 事件 和 变化 告诉 设备 。 

由 于 IP 协议 是 一 种 不 可 靠 的 协议 ,无 法 进行 差错 控制 。IP 负责 把 数据 
从 一 个 主机 传输 到 另 一 个 主机 上 ,有 时 从 一 个 网 络 传输 到 另 一 个 网 络 上 。 在 
传输 过 程 中 ,IP 数据 都 可 能 因为 某 种 原因 不 能 发 送 ,这 样 根 据 失败 的 性 质 决 
定 是 否 让 发 送 端 知道 失败 原因 。 

比如 ,无 效 的 校 验 和 这 样 的 暂时 性 错误 是 被 忽略 掉 的 ,因为 下 一 个 包 不 
太 可 能 会 出 现 同 样 的 问题 ,最 终 所 用 的 传输 或 应 用 程序 会 检测 到 错误 ,这 个 
失败 并 不 表示 这 个 网 络 出 现 了 普遍 错误 ; 相反 , 半 永 久 性 错误 (诸如 目的 IP 
地 址 不 可 达 ) 需 要 立刻 报告 给 发 送 者 ,因为 这 个 失败 表明 了 网 络 自 身 出 现 了 
重要 问题 。 

ICMP 是 在 检测 到 半 永 久 性 错误 时 发 送 失 败 消息 的 协议 。 这 些 错误 包 
含 : 目的 地 不 可 达 、IP Time-to-live 值 为 0 等 。 除 了 发 送 错误 消息 ,ICMP 可 
以 用 来 交换 关于 网 络 的 一 般 信息 ,或 者 用 来 探测 网 络 的 一 定 特征 。 例 如 , 常 
用 的 ping 程序 就 用 ICMP 消息 来 检测 两 个 设备 之 间 的 基本 连接 。 

ICMP 是 一 个 预定 义 好 的 消息 的 集合 ,每 一 种 消息 都 提供 专用 的 功能 ,每 
一 种 类 型 的 ICMP 消息 称 为 “主要 类 型 ",“ 主 要 类 型 "还 拥有 自己 的 “ 子 类 型 
编码 ”。 当 系统 需要 发 送 ICMP 消息 时 , 它 就 从 消息 库 里 找 出 一 条 消息 ,把 这 
个 消息 的 代码 放 入 ICMP 数据 包 文 中 ,然后 通过 IP 把 ICMP 消息 发 送 到 
源 端 。 

虽然 ICMP 可 以 用 来 报告 IP 的 失败 ,但 应 该 注意 ICMP 不 会 使 IP 协议 
变 得 可 靠 。IP 仍然 允许 丢失 包 、 发 送 重复 包 、 非 顺序 包 或 其 他 的 任何 事情 。 
主机 可 能 会 因为 很 多 原因 忽略 这 些 消息 ,而 不 给 发 送 者 返回 ICMP 消息 , 因 
此 没有 ICMP 消息 也 不 意味 着 网 络 工 作 正 常 。 

通常 人 们 使 用 的 ping 命令 ,就 是 使 用 ICMP 的 Echo Request 和 Echo 
Reply 消息 .此 外 ICMP 还 提供 了 Error 错误 消息 。 
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ICMP Echo Request(Reply) 报 文 结构 如 图 5-1 所 示 : 它 包括 类 型 .代码 、 校 验 和 、 标 识 符 
和 序列 号 ,后面 就 是 ICMP 的 数据 。 其 中 类 型 占 8 位 ,代码 占 8 位 , 校 验 和 占 16 位 ,这 三 个 
字段 共 32 位 ,在 任何 ICMP 报 文中 是 不 变 的 ,后 面 的 字段 结构 根据 不 同 的 ICMP 类 型 和 代 
码 有 所 不 同 , 如 图 5-2 所 示 ,这 是 ICMP 通用 格式 。 


类 型 代码 校 验 和 
标识 符 序列 号 类 型 代码 校 验 和 
数据 不 同 的 类 型 和 代码 ,内 容 不 同 
图 5-1 ICMP Echo Request(Reply) 报 文 结构 图 5-2 ICMP 通用 格式 


5.1 Echo Request 和 Echo Reply 查询 消息 


ICMP 提供 了 两 个 查询 消息 Echo Request 和 Echo Reply, 这 两 个 查询 消息 放 在 一 起 可 
以 测试 网 络 上 的 某 远 程 系统 是 否 在 工作 。ICMP Echo Request 查询 消息 是 用 户 发 送 到 目的 
主机 的 探测 包 , 并 由 ICMP Echo Reply 查询 消息 来 响应 。 

比如 测试 网 络 中 主机 的 基本 连接 时 ,使 用 ping 程序 来 测试 联通 性 ,ping 的 工作 原理 就 
是 通过 往 目 的 系统 发 送 一 个 或 更 多 个 ICMP Echo Request 消息 ,然后 计算 从 探测 开始 到 收 
到 ICMP Echo Reply 消息 这 个 过 程 所 花费 的 时 间 。 

图 5-3 和 图 5-4 显示 本 地 网 络 上 两 个 主机 之 间 一 个 简单 的 ping。 例 子 中 192. 168. 2.3 
在 ping 主机 192. 168. 2.2, 它 们 之 间 通 过 发 送 ICMP Echo request 和 ICMP Echo Reply 来 
完成 ,具体 的 详细 数据 包 的 分 析 见 后 面相 关 ICMP 包 的 分 析 。 


x | 多 加 | S+/9] O73) Aaa POX S 


7] #33 Expression. Cear| noo 


5 1.366585 ^ 192.168.2.2 


iFrame 4 (74 bytes on wire, 74 bytes captured) 
E Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:08:74:16:4a:4F 
E Internet Protocol, Src Addr: 192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 
m Internet Control Message Protocol 
Type: 8 (Echo (ping) request) 
Code: 0 
Checksum: Ox4aSc (correct) 
Identifier: 0x0200 
Sequence number: 0x0100 
Data (32 bytes) 


UU US 74 1t 4a 4T UU EU US tZ az 19 US UU 45 UU  .- 1 
00 3c 00 5s 00 OO 80 01 b5 12 cO a8 O2 03 -0 a8 .<. is 
02 4 5 EE .. 


| EL 
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= 
Frame 5 (74 bytes on wire, 74 bytes captured) 
E Ethernet II, Src: 00:08:74:16:4a:4f, Dst: 00:6C:08:82:d2:19 
@ Internet Protocol, Src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.2.3 (192.168.2.3) 
El Internet Contro] Message Protocol 

Type: O (Echo (ping) reply) 

Code: 0 


Checksum: Ox525c (correct) 
Identifier: 0x0200 


Sequence number: 0x0100 
Data (32 bytes) 


00 60 08 82 d2 19 00 08 16 4a 4f 08 00 45 00 

00 3c 65 fk 00 00 80 01 70 cO a8 02 O2 cO a8 

O2 03 00 OC 52 5c O2 00 01 CO 61 62 63 64 55 66 

67 68 69 6a Gb 6c 6d Ge 6f 70 71 72 73 74 ?5 76 ghijk 

77 61 62 63 64 65 66 67 68 69 wabcdefg hi 


5.2 ICMP 消息 类 型 


ping 程序 只 是 ICMP 应 用 的 其 中 一 种 形式 ,ICMP 还 存在 其 他 应 用 中 。 下 面 来 讲 讲 
ICMP 的 其 他 一 些 类 型 。 

每 个 ICMP 消息 都 指定 了 一 个 唯一 的 “消息 类 型 "(Message Type) 也 就 是 前 面 说 的 主 
要 类 型 , 它 只 是 一 个 简单 的 数字 代码 来 代表 每 种 预定 好 的 信息 ,在 设备 需要 往 另 外 一 个 设备 
上 发 送信 息 时 ,可 以 选择 几 种 预先 定义 好 的 消息 类 型 。 比 如 上 面 的 ping 程序 , 它 用 到 的 
ICMP Message Type fti Echo Reply 是 0,Echo Request 是 8, 从 图 5-3 和 5-4 中 可 以 看 到 。 
表 5-1 是 IPv4 常用 的 Message Type。 


表 5-1 
TYPE 消息 描述 消息 种 类 定义 源 
0 Echo reply Query (reply) RFC 192 
3 Destination Unreachable Error RFC 1122 
4 Source Quench Error RFC 792 
5 Redirect Error RFC 792 
8 Echo Request Query (request) RFC 792 
9 Router Advertisement Query (reply) RFC 1256 
10 Router Solicitation Query (request) RFC 1256 
11 Time Exceeded Error RFC 1122 
2 Parameter Problem Error RFC 792 
13 Timestamp Request Query (request) RFC 792 
14 Timestamp Reply Query (reply) RFC 792 
17 Address Mask Request Query (request) RFC 950 
18 Address Mask Reply Query (reply) RFC 950 
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从 表 5-1 可 以 看 到 多 种 消息 类 型 (Message Type) ,不 同 的 Type 对 应 了 不 同 的 应 用 , 除 
了 查询 消息 外 ,ICMP 还 提供 了 Error 错误 消息 。 


5.3 ICMP 各 字段 分 析 


在 分 析 ICMP 各 字段 意义 前 ,在 第 1 章 中 说 过 为 ICMP 分 层 是 个 棘手 的 问题 ,从 图 5-5 
中 看 到 ,实际 上 ICMP 是 封装 在 IP 数据 包 中 ,从 图 中 可 以 看 到 IP 数据 包 中 有 个 Protocol 
Type: ICMP 字段 ,表明 这 个 IP 数据 包 的 上 一 层 协议 是 ICMP. 


4 1.366158 192.168.2.3 
5 1.366585 192.168.2.2 


Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:06:74:16:4a:4f 
日 Internet Protocol, Src Addr: 192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 
Version: 4 
Header length: 20 bytes 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
Total Length: 60 


Identification: 0x0059 (89) 
Flags: 0x00 
Fragment offset: 0 


Header checksum 512 (correct) 
Source: 192.168.2.3 (192.168.2.3) 
Destination: 192.168.2.2 (192.168.2.2) 

@ Internet Contro] Message Protocol 


XI UU UG T4 1t x 
O10 00 3c OO 55 bs 12 c0 a8 02 03 :0 a8 c.v... 
01 CO 61 62 63 64 55 66 we abcdef 
ghijkim caqrstuv 
wabcdefg hi 


各 种 ICMP 报 文 的 前 32 位 都 一 样 , 接 下 来 对 ICMP 数据 包 中 的 每 个 字段 进行 介绍 。 
1. Message Type 字段 : 8 位 

从 表 5-1 可 知 ,因为 图 5-6 中 是 个 Echo Request, 所 以 Message Type 值 是 8. 

2. Message Code 字段 : 8 位 


singt ICMP 除了 Echo request 和 Echo Reply 消息 外 .ICMP 还 提供 了 Error 错误 
消息 ,这 个 字段 就 是 用 来 说 明 特 定 ICMP 错误 消息 子 类 .也 就 是 前 面 说 的 “ 子 类 型 编码 
(Minor Codes)”, 

因为 图 5-7 并 没有 出 错 , 所 以 图 5-7 中 Code—0. FER 5-2 列 出 了 常见 的 Code 含义 。 

举 个 出 错 的 例子 : 如 果 Code 一 3, 当 和 type=3 (Destination Unreachable) 错 误 消 息 一 
起 使 用 时 ,这 个 3 表示 子 类 型 为 Port Unreachable。 
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E 


E 


Frame 4 (74 bytes on wire, 74 b; 
Hi Ethernet II, Src: 
E Internet Protocol, Src Addr: 
E Internet Control Message Protocol 
Echo request 


es captured) 


ing 
Code: 0 

Checksum: Ox4aSc (correct) 
Identifier: 0x0200 
Sequence number: 0x0100 
Data (32 bytes) 


00:60:08 :82:d2:19, Dst: 00:08:74: 
192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 


16:4a:4f 


OU 
010 
1020 
1030 
1040 


Us 74 1t 48 4T UU bU 
3c 00 55 00 O0 80 O1 
02 3E OC 4a 5c 02 00 
68 69 6a 6b 6c 6d 6e 
61 62 63 64 65 66 67 


ype (omp type), 1 byte 


Capture 


a2 19 US UU 45 UU 
cO a8 02 03 -0 a8 
61 62 63 64 55 66 
71 72 73 74 75 76 


JN. “abcdef 
ghijklmn ooqrstuv 
wabcdefg hi 


[r0 Mo 


A 
Fite 


192.168.2.2 
192.166.2.3 


IEXSBEISISEEIESEIEIS IS eB x SI 


/| Add Expression...| Clear] Apply 


ICMP Echo (ping) reply 


E Frame 4 (74 bytes on wire, 74 b; 
B] Ethernet II, Src: 00:60:08:82 


es captured) 


E Internet Control Message Protocol 
Type: 8 (Echo (ping) request) 


Checksum: Ox4aSc (correct) 
Identifier: 0x0200 
Sequence number: 0x0100 
Data (32 bytes) 


Te 4a 4T 
55 00 00 
Sg 4a 5c 
62 6b 6c 
63 64 65 


19 US UU 
a8 02 03 = 
62 63 64 &' 
72 73 74 


19, Dst: 00:08:74:16:4a:4f 
Œ Internet Protocol, Src Addr: 192.168.2.3 (192.168.2. 


3), Dst Addr: 192.168.2.2 (192.168.2.2) 


SINAI abcdef 
ghijklm ooqrstuv 
wabcdefg hi 


[Code demp. code). 1 byte. 
图 


具体 可 查 表 5-2 对 应 子 类 
字 标 识 符 来 交换 数据 。Type 字段 是 用 来 说 明 信 


别 。 


ICMP 实质 上 包含 - 


AM 


但 是 一 些 信 息 Type 不 具有 任何 子 类 型 Code。 


-个 预先 定义 好 的 消息 字典 ,人 允许 通过 数 
的 主要 类 ,而 Code 字段 是 用 来 说 明 小 类 
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表 5-2 

Type | Code fi 3 消息 种 类 
0 0 回应 的 应 答 Query(Reply) 

目标 不 可 达 Error 

0 网 络 不 可 达 Error 

1 主机 不 可 达 Error 

2 协议 不 可 达 Error 

3 端口 不 可 达 Error 

4 需要 分 片 但 设置 了 不 可 分 片 位 Error 

5 源 站 选 路 失败 Error 

6 目的 网 络 不 认识 Error 

3 7 目的 主机 不 认识 Error 

8 源 主 机 被 隔离 (作废 不 用 ) Error 

9 目的 网 络 被 强制 禁止 Error 

10 目的 主机 被 强制 禁止 Error 

11 由 于 服务 类 型 TOS, 网 络 不 可 达 Error 

12 由 于 服务 类 型 TOS, 主 机 不 可 达 Error 

13 由 于 过 滤 ,通信 被 强制 禁止 Error 

14 主机 越权 Error 

15 优先 权 中 止 生效 Error 

4 0 源 端 被 关闭 (基本 流 控制 ) Error 

5 重 定向 Error 

0 对 网 络 重 定向 Error 

1 对 主机 重 定向 Error 

2 对 服务 类 型 和 网 络 重 定向 Error 

3 对 服务 类 型 和 主机 重 定向 Error 
8 0 回应 请 求 Query(Reply) 
9 0 路 由 器 通告 Query(Reply) 
10 0 路 由 器 请 求 Query(Reply) 

超时 Error 

11 0 传输 期 间 生 存 时 间 为 0 Error 

1 在 数据 包 组 装 期 间 生 存 时 间 为 0 Error 

参数 问题 Error 

12 0 坏 的 IP 头 部 (包括 各 种 差错 ) Error 

1 缺少 必要 的 选项 Error 
13 0 时 间 截 请 求 Query (Reply 
14 0 时 间 截 应 答 Query(Reply) 
17 0 地 址 掩 码 请 求 Query(Reply) 
18 0 He ht HETS Query( Reply) 


3. Checksum 字段 : 16 位 


Checksum 字段 包括 数据 在 内 的 整个 ICMP 数据 包 的 校 验 和 .其 计算 方法 和 IP 头 部 校 
验 和 的 计算 方法 是 一 样 的 ,如 图 5-8 所 示 。 


Fie Eit Mew Go Capture Analyze Staistios 
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l| Sa] x (eS) | e[e EXE alala 2 OE e] 
| Aaa ips | Cen o] 


192. 168.2. 


Frame 4 (74 bytes on wire, 74 bytes captured) 
E] Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:08:74 :16:4a:4F 


@ Internet Protocol, Src Addr: 
El Internet Control Message Protocol 


m 
010 
1020 
1030 
040 


Type: 8 (Echo (ping) request) 
Code o 


m: 
Identifier: 0x0200 
Sequence nunber : 0x0100 
Data (32 bytes) 


Us 741 
00 3c 00 55 00 00 80 01 
02 02 08 OC 
67 68 69 62 6l 


192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 


Cor 
z0 a8 
62 63 64 55 66 a 
72 73 74 75 76 — ghijklmn ooqrstuv 
wabcdefg hi 


前 面 3 个 字段 是 所 有 ICMP 报 文 共有 的 ,下 面 的 字段 对 于 本 例 是 针对 ping 应 用 来 讲 。 
(1) Identifier 字段 
字段 标识 本 ICMP 进程 ,如 图 5-9 所 示 ,这 个 字段 长 度 16 位 。 


Identifier F 


国 Frame 4 (74 bytes on wire, 74 bytes captured) 
B) Ethernet II, Src: 00:60:08:82 


Internet Protocol, Src Addr: 
El Internet Control Message Protocol 


Type: 8 (Echo (ping) request) 
Code: 0 
Checksum: Ox4a5c (correct) 


Sequence number: 0x0100 
Data (32 bytes) 


9, Dst: 00:06:74:16:4a:4f 
192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 


US74 1t aa 4T UJ tU 
3c 00 55 00 00 80 O1 


02 08 QC 4a 5c aes 
68 69 6a 6b 6c 6d 6e 
61 62 63 64 65 66 67 


Ts Us 

a8 02 03 

62 63 64 85 66 EN. -] 

72 73 74 75 76 — ghijklmn ooqrstuv 
wabcdefg hi 


[teritur Gome ident), 2 byte EJ 


(2) Sequence 字段 
用 于 判断 回应 应 答 数据 包 , 如 图 5-10 所 示 。 
(3) Data 字段 


ICMP Data 


字段 最 大 人 允许 的 长 度 为 1472。 平 时 在 用 ping 命令 时 , Windows 下 默认 发 


送 的 Data 是 32 字 节 ,如 图 5-11 所 示 。 如 果 发 送 一 个 400 字 节 大 小 的 ping 数据 ,这 时 的 
Data 部 分 就 是 400 字 节 了 。 


56 | 
Vil CP/IP 协议 深入 分 析 


File Est Mew Go Capture Analyze Statisties Help 


a exe x ena] gi e[e] es x | Qala] | 


El Frame 4 (74 bytes on wire, 
加 Ethernet II, Src: 00:60: 
Bi Internet Protocol, Src Addr: 192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 
El Internet Control Message Protocol 
Type: 8 (Echo (ping) request) 
Code: 0 
Checksum: Ox4a5c (correct) 
Identifier: 0x0200 


Data (32 bytes) 


IO UU US 74 1t 43 3T UJ BU IS US UU 45 UU 

10 00 3c OO 55 00 OO 80 01 a8 02 03 0 a8 .cY.... . ; 
020 02 02 08 QC 4a Sc 02 00 62 63 64 55 66 — ....JW.. 图 abcdef 
030 67 68 69 62 6b 6c 6d 6e 72 73 74 75 76 — ghijklmn osqrstuv 
O40 77 61 62 63 64 65 66 67 wabcdefg hi 


[Sequence number gomp seq) 2 bytes [Fs 0: amo 


/| ioa Expression. Cear| Avy 
[Peoo [into 


i Frame 4 (74 bytes on wire, 74 bytes captured) 
B) Ethernet II, Src: O0: 8:82:d2:19, Dst: OO: 74:16:4a:4f 
@ Internet Protocol, Src Addr: 192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 
El Internet Control Message Protocol 
Type: 8 (Echo (ping) request) 
Code: 0 
Checksum: Ox4a5c (correct) 
Identifier: 0x0200 
Sequence number: 0x0100 


UU US 74 1t aa 4T UJ 
00 3c 00 55 00 00 80 s €vYs ia 

2 bc de 

opqrstuy 


a (data), 32 bytes 


CHA PTE R.6 


HTTP th 议 第 6 章 


大 家 对 于 HTTP 一 定 不 陌生 ,平时 上 网 浏览 网 页 ,接触 最 多 的 可 能 就 是 
HTTP 协议 了 。 浏 览 器 向 服务 器 发 送 请 求 , 服 务 器 回应 相应 的 网 页 。HTTP 
协议 从 1990 年 开始 出 现 , 发 展 到 当前 的 HTTP 1.1 标准 ,已 经 有 了 很 多 的 扩 
展 , 然 而 HTTP 最 基本 的 实现 是 非常 简单 的 ,服务 器 需要 进行 的 额外 处 理 很 
少 。HTTP 协议 使 用 TCP 端口 80 来 和 客户 端 建立 连接 。 

HTTP 协议 是 基于 请 求 /响应 模式 ,相当 于 客户 端 /服务 器 模式 。 客 户 端 向 
服务 器 发 送 一 个 请 求 报 文 ,服务 器 发 送 响应 报 文 。 请 求 报 文 / 响 应 报 文 结构 如 
图 6-1 所 示 ,请求 报 文 包括 请 求 行 . 报 头 、. 空 白 行 .正文 ,其 中 请 求 行 是 请 求 报 文 
中 的 重要 部 分 ,请 求 行 包含 请 求 的 方法 (如 表 6-1 所 示 )、Web 服务 器 的 URL 和 
协议 版 本 。 请 求 方法 是 浏览 器 发 送 给 服 


务 器 的 命令 ,服务 器 必须 按照 这 些 命令 来 | EERE 

Li ONDE 通用 头 通用 头 
操作 ,为 客户 提供 服务 。 响 应 报 文 包括 响 | 请求 大 | ae 
应 行 .报头 .空白 行 .正文 ,其 中 响应 行 由 | 正文 类 | BS) Ge | 
HTTP 版本、 响应 码 ( 如 表 6-2 所 示 )、 响 | 一 个 空 行 | zo 
应 短语 和 空格 组 成 。 正 文 可 以 在 请 求 报 文 Ier 
或 响应 报 文中 , 它 包含 要 发 送 的 或 接收 的 
文档 。 空 行 的 作用 是 把 正文 和 报头 隔 开 。 m 

表 6-1 请 求 方法 
方法 说 明 


当 浏 览 器 要 从 服务 器 读 取 指定 的 文档 。GET 方法 要 求 服务 器 将 
URL 定位 的 资源 放 在 响应 报 文 的 正文 中 , 回 送 给 浏览 器 

HEAD 当 浏 览 器 要 从 服务 器 中 读 取 关于 文档 的 首部 信息 ,而 不 是 文档 的 正文 
从 客户 端 向 服务 器 传送 数据 ,在 要 求 服务 器 和 CGI 做 进一步 处 理 时 
会 用 到 POST 方法 。POST 主要 用 于 发 送 HTML 文本 中 FORM 的 
内 容 , 让 CGI 程序 处 理 。 使 用 Post 请 求 时 需要 在 报 文 首 部 Content- 
Length 字段 中 指出 body 的 长 度 

PUT 用 从 客户 端 传送 的 数据 取代 指定 文档 的 内 容 

DELETE 请 求 服务 器 删除 指定 页 面 


POST 
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表 6-2 常见 的 响应 码 


响应 代码 响应 信息 x 
"we 初始 的 请 求 已 经 接受 ,客户 应 当 继续 发 送 请 求 的 其 余部 分 
100 Continue 
(HTTP 1.1) 
101 Switching Protocols 服务 器 将 遵从 客户 的 请 求 转换 到 另外 一 种 协议 (HTTP 1, 1) 
200 OK 一 切 正常 ,对 GET 和 POST 请 求 的 应 答 文 档 跟 在 后 面 
201 Created 服务 器 已 经 创建 了 文档 ,Location 头 给 出 了 它 的 URL 
202 Accepted 已 经 接受 请 求 , 但 处 理 尚未 完成 
Non-Authoritative Inf- | 文档 已 经 正常 地 返回 ,但 一 些 应 答 头 可 能 不 正确 ,因为 使 用 的 是 
203 
ormation 文档 的 拷贝 (HTTP 1. D 
没有 新 文档 ,浏览 器 应 该 继续 显示 原来 的 文档 。 如 果 用 户 定 期 
204 No Content 地 刷新 页 面 ,而 Servlet 可 以 确定 用 户 文档 足够 新 ,这 个 状态 代 
码 是 很 有 用 的 


没有 新 的 内 容 , 但 浏览 器 应 该 重 置 它 所 显示 的 内 容 。 用 来 强制 


205 Reset Content 浏览 器 清除 表单 输入 内 容 (HTTP 1 1) 
oak 客户 发 送 了 一 个 带 有 Range 头 的 GET 请 求 ,服务 器 完成 了 它 
206 Partial Content 
(HTTP 1.1) 
400 Bad Request 请 求 出 现 语 法 错误 
客户 试图 未 经 授权 访问 受 密码 保护 的 页 面 。 应 答 中 会 包含 一 个 
401 Unauthorized WWW-Authenticate 头 ,浏览 器 据 此 显示 用 户 名 字 / 密 码 对 话 
框 ,然后 在 填写 合适 的 Authorization 头 后 青 次 发 出 请 求 
— 资源 不 可 用 。 服 务 器 理解 客户 的 请 求 ,但 拒绝 处 理 它 。 通 常 由 
403 Forbidden 


于 服务 器 上 文件 或 目录 的 权限 设置 导致 

404 Not Found 无 法 找到 指定 位 置 的 资源 。 这 也 是 一 个 常用 的 应 答 

HPRH $ (GET, POST, HEAD, DELETE, PUT 和 TRACE 等 ) 
对 指定 的 资源 不 适用 CHTTP 1.1) 


405 Method Not Allowed 


接 下 来 讲 讲 图 6-1 中 的 报头 中 各 字段 用 法 。 

* 通用 头 包含 请 求 和 响应 消息 都 支持 的 头 域 ,通用 头 包含 cache-control, connection, 
date, pragma, transfer-encoding , upgrade 和 mime-version。 

。 请 求 头 信息 是 可 选项 ,请 求 头 只 能 出 现在 请 求 报 文中 , 它 用 于 客户 端 向 服务 器 提供 
的 客户 的 配置 和 客户 优先 使 用 的 文档 格式 ,常见 的 请 求 头 信息 如 表 6-3 所 示 。 


ROS 请 求 头 字段 


fí B 说 明 

Accept 客户 端 接受 的 数据 类 型 

Authorization 认证 消息 .包括 用 户 名 和 口令 

User-agent 客户 端 软件 类 型 

Accept-charset 客户 端 浏览 器 能 够 处 理 的 字符 集 
浏览 器 能 够 进行 解码 的 数据 编码 方式 ,比如 gzip. Servlet 能 够 向 支持 gzip 的 浏 

Accept-encoding 览 器 返回 经 gzip 编码 的 HTML 页 面 。 许 多 情形 下 这 可 以 减少 5 一 10 倍 的 下 载 
时 间 

Accept-language 浏览 器 所 希望 的 语言 种 类 . 当 服 务 器 能 够 提供 一 种 以 上 的 语言 版 本 时 要 用 到 


fi RR 
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续 表 
说 明 


Authorization 


授权 信息 ,通常 出 现在 对 服务 器 发 送 的 WWW-Authenticate 头 的 应 答 中 


Host 


客户 端 指定 请 求 初始 URL 中 的 主机 和 端口 


Range 


客户 端 请 求 正文 的 范围 ,以 字 节 为 单位 


IF-Modified-Since 


在 GET 请 求 中 ,此 字段 表示 指定 日 期 以 来 的 资源 是 否 被 修改 ,如 果 修 改 了 , 则 发 
送 文档 。 如 果 没 修改 ,服务 器 不 用 发 送 该 文档 ,返回 一 个 304 响应 代码 


User-Agent 客户 端 产生 请 求 的 软件 类 型 。 
Referer 包含 一 个 URL, 用 户 从 该 URL 代表 的 页 面 出 发 访问 当前 请 求 的 页 面 
Cookie 这 是 最 重要 的 请 求 头 信息 之 一 


* 响应 头 只 能 出 现在 响应 报 文 中 ,用 来 向 客户 端 提供 服务 器 的 配置 信息 和 关于 请 求 文 
档 的 信息 , 表 6-4 是 响应 头 出 现 的 字段 和 意义 。 


表 6-4 响应 头 字段 


信 RR 说 明 

Accept-range 给 出 服务 器 接受 客户 请 求 的 范围 

Age 给 出 文档 的 使 用 期 限 

Public 给 出 可 以 支持 的 方法 清单 

Retry-afer 指明 的 日 期 之 后 ,服务 器 才能 够 使 用 

Server 指出 服务 器 程序 类 型 与 版 本 号 
它 向 被 发 送 的 资源 分 派 一 个 唯一 的 标识 符 。 对 于 可 以 使 用 多 种 URL 请 求 的 资 

ETag W. ETag 可 以 用 于 确定 实际 被 发 送 的 资源 是 否 为 同一 资源 。 例 如 : ETag: 
“208f-419e-30f8dc99” 

Location 对 于 一 个 已 经 移动 的 资源 ,用 于 重 定向 请 求 者 至 另 一 个 位 置 


* 正文 头 主 要 出 现在 响应 报 文中 ,用 于 说 明文 档 正 文 的 信息 , 它 包含 Allow, Content- 
encoding, Content-language、 Content-length, Content-range, Content-type, Etag、 
Expires, Last-modified 和 Location 等 信息 ,如 表 6-5 所 示 o 


LES: 


HOS 正文 头 字段 
说 明 


Allow 


它 定义 一 个 由 位 于 请 求 URI 中 的 次 源 所 支持 的 HTTP 方法 列表 。 例 如 : 
Allow; GET.PUT 


Content-encoding 


标明 一 个 正文 是 怎么 样 编码 的 


Content-language 


指定 正文 的 自然 语言 类 型 


Content-length 


指定 包含 于 请 求 或 响应 中 数据 的 字 节 长 度 


Content-range 


标明 被 插入 字 节 的 低位 与 高 位 字 节 偏 移 , 也 标明 此 实体 的 总 长 度 


Content-type 


标明 发 送 或 者 接收 的 正文 的 MIME 类 型 。 例 如 : Content-Type: text/html 


Expires 


指定 正文 的 有 效 期 


Last-modified 


被 请 求 资源 上 次 被 修改 的 日 期 和 时 间 
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从 上 面 的 介绍 可 以 知道 ,HTTP 协议 通过 定义 一 系列 的 请 求 方法 、 响 应 状态 码 和 报头 
字段 ,来 完成 服务 器 和 客户 端 直接 的 请 求 和 回应 ,从 而 完成 服务 器 端 向 客户 端 传送 Web 页 
面 的 内 容 。HTTP 传输 过 程 一 般 分 为 以 下 4 个 步骤 : 

(1) 客户 端 (浏览 器 ) 与 服务 器 建立 连接 。 

(2) 客户 端 向 服务 器 请 求 文档 。 

(3) 服务 器 响应 客户 端 请 求 。 

(4) 断 开 连 接 。 

如 图 6-2 所 示 ,这 是 个 客户 端 发 送 的 HTTP 请 求 报 文 ,客户 端 发 送 了 GET 请 求 , 在 这 
个 请 求 行 中 ,客户 端的 请 求 方法 为 GET, 客 户 端 请 求 服务 器 的 URL 和 协议 版 本 HTTP1. 1。 
在 请 求 头 中 ,可 以 看 到 Accept, Accept-Language 等 字段 。 通 用 头 部 Connection 表示 是 否 需 
要 持久 连接 。 


Do Capture Maye Suisies 


Sas ses 2 aaa wos [š] 
nec enn] 


http > 1213 [ACK] $ 

HTTP/1.1 200 ok[unr 
14 3.444410 2133. E Continuation or nor 
15 3.444554 .133. : Continuation or nor 
16 3.444624 .13 A 1213 > http [ACK] £ 
17 3.557538 e 16. 15 198.133.219.25 1214 > http [SYN] £ 
18 3.614960 i Spanning-tree-(for-br STP Conf. Root = 32768, 
19 3.651477 a 10.214.6.15 HTTP Continuation or nor 


Addr: 198.133.219.25 (198.133. a 
ttp (80). ; 


Request Meth: 

Request URI: / 

Request version: HTTP/1.1 
Accept: image/gif, image/-xbitmap, image/jpeg, image/pjpeg, appl!cation/x-shockwave-flas 
Accept-Language cn\r\n 
Accept-Encoding deflate\r\n 
User-Agent: 111a/4.0 (compatible; MSIE 6.0; windows NT 5.0; .NET CLR 1.1.4322)\r\n 
Host: www. cisco. com\r\n 
Connection: Keep-Alive\r\n 


如 图 6-3 所 示 ,这 是 个 服务 器 发 送 的 HTTP 响应 报 文 ,这 个 报 文 开 始 是 响应 行 , 它 包括 
HTTP 版 本 、 响 应 码 200 和 响应 短语 OK. Date 响应 头 字段 给 出 服务 器 上 的 时 间 和 日 期 ， 
通常 是 格林 尼 治 时 间 。Server 响应 头 字段 指明 了 服务 器 运行 的 程序 类 型 与 版 本 号 。 这 个 报 
文中 connection 后 面 有 个 空 行 , 把 报 文 头 部 和 正文 隔 开 ,. 标 明 空 行 的 后 面 就 是 正文 数据 了 。 
正文 的 格式 和 长 度 在 正文 头 中 定义 了 ,Content-Length: 12310,Content-Type: text/css。 

HTTP 传输 的 4 个 步骤 通过 实例 HTTP 会 话 来 看 看 这 个 过 程 : 

在 浏览 器 中 键 人 www. cisco. com, 打 开 如 图 6-4 所 示 的 网 页 来 分 析 一 个 HTTP 的 会 话 过 程 。 
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gj Glee] e| ers [a] eje 


[3 


p 
198.133.215.2% Ea ContTnustTon or non-HTTP 
198.133.219.25 0. 214.6. Continuation or non-HTTP 
198. or non-HTTP 


5 i 
58 198.133 


Grrame 57 (1434 bytes on wire, 1 

Biethernet II, Src: 00:0a:f4:32:b7: 

B Internet Protocol, S : 215 98.133. J, ost addr: 

@ Transmission Control n 3 ) ; 1214 (1214), Seq: 1529, Ack: 


: Thu, OS Aug 2004 10:20:25 GMT\r\n 
Server: Apache/1.0 Cunix)\r\n 
Last-modified: Fr 
ETag: "44f89-3016 
Content-Length: 12310\r\n 
Content-Type: text/ess\r\n 
Connection: keep-alive\r\n 
\r\n 

BLine-based text data: text/css 


onritfe ¢. . Font 
72 69 61 ; bold 1 6p 4| 


Ses. oes Brus. Oe Breast Hea- E 
E 
cisco 


L3 use LTD 


CD 通过 TCP 三 次 握手 ,建立 一 个 TCP 连接 ,如 图 6-5 所 示 。 

(2) TCP 建立 成 功 后 ,客户 端 发 送 了 一 个 HTTP 请 求 , 如 图 6-6 所 示 。 

(3) 收 到 客户 端的 请 求 ,服务 器 端 先 发 送 一 个 TCP 确认 信息 ,表示 收 到 了 HTTP 请 
求 ,如 图 6-7 所 示 ,然后 ,服务 器 响应 客户 端的 请 求 .发 送 响应 的 数据 ,如 图 6-8 所 示 ,第 13 一 
第 15 行 就 是 服务 器 发 送 的 数据 。 
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rok Wu Ge DELI moo SEI 
a Sal x/e/S) EE EEREZE 3EAES YS SE FBX S| 
Em ECINEEL 


198.133.219.25 10.214.6.15 
10.214.6.15 198.133.219.25 TCP 


http > 1213 [SYN, ACK] Se 
1213 > http [ack] seq=1 + 


D 


Frame 8 (62 bytes on wire, 62 
Bethernet II, Src: 00:60:08:82: 
internet Protocol, sr. 


Source port: 1213 
Destination port: http (80) 
Sequence number: 0 — (relative sequence number) 
Header length: 28 bytes 
Flags: Ox0002 (SYN) 
window size: 16384 
Checksum: Ox9c37 (corr. 
Boptions: (8 bytes) 


(1213) 


19.25 (198.133.219.25) 


F I7 
[O00 00 0a f4 32 b7 Tf 00 60 08 82 d2 19 08 00 45 00 

ooao oo 30 11 04 40 00 BO 06 37 40 Oa d6 06 Of c6 B5 

0020 db 19 mm 3 E 

0030 


franamission cwi SSS 
图 6 


[mous | 


so[s[z] ajaja] w[n 


aj] 


xa 


| ea Caprio. | Caw | anov] 


http > 1213 [ack] Segel » 
HTTP/1.1 200 ow[unreasser|] 


.214.6.15 (10. 
Sre Port: 1213 


rnet Protocol, Src Addr: 
E Transmission control Protocol, 
Source port: 1213 (1213) 
Destination port: http (80) 
Sequence number: 1 ^ (relative sequence number) 
[Next sequence number: 300 ^ (relative sequence number)] 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 20 bytes 
Flags: Ox0018 (PSH, AC 
Window size: 16560 
Checksum: Oxb790 ( 
pert 
日 GET / HTTP/1.1\r\n 
Request Method: GET 
Request URI: / 
Request versio: 
Accept: image/gif, 


gzip, deflate\r\n 

User-agent: Mozi11a/4.0 (compatible; MSIE 6.0; windows NT 5.0; 
Host: www. cisco. com\r\n 

Connection: Keep-alive\r\n 


bitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, * 


NET CLR 1.1.4322) Nn 


50 00 00 
Oc 


g 


BuveNS 


[IE 
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Fie Ea Yau Go Come Maye Ses Hep 


E 
iss E 
198.133.219.25 hrrp > 1213 [sYM, ACK] st 
TCR — 1218 > hrrp [ACK] Seged / 


GET / HTTP/1.1 


Frame 12 (60 bytes on wire, 60 bytes captured) 
ethernet II, src: 00:0a:f4:32:b7:ff, Ost: 00:60:08:82: 
Biinternet Protocol, src addr: 198.133.219.25 (198.133.219.25), ost addr: 
E Transmission control Protocol, src Por 
Source port: http (80) 
Destination port: 1213 (1213) 
Sequence number: 1 — (relative sequence number) 
Acknowledgement number: 300 (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0010 (ACK) 
window size: 16085 
Checksum: Oxae69 (correct) 
m [SEQ/Ack analysis] 


10.214.6.15 (10.214.6.15) 
http (80), Dst Port: 1213 (1213), Seq: 1, Ack: 300, Len 


82 d2 19 00 0a fa 32 b7 ff O8 00 45 00 
ee 00 00 2f 06 3d Se c6 85 db 19 0a dé 
50 04 bd la c3 ff be 68 33 88 4f 50 10 
$9 00 00 00 00 00 00 00 00 


Is 7 
图 6-7 


[eab | 


m Me Co comme ayie Spes 


EAPHgEAKEEcKHEALREQLEA 


m 


B 


14 3.444410 — 198.133 .214.6.15 HTTP Continuation or non. 
15 3.444554 — 198.133 


HTTP 
HTTP Continuation or non-wrTP |a| 


\ 


EET ESET OF OTT LOIN OT mr 
http (80), Ost Port: 1213 (1213), Seq: 1, A 


ntrol Proti 
http (80) 


Source port 


Destination port: 1213 (1213) 
Sequence number: i ^ (relative sequence number) 
[Next sequence number: 1381 (relative sequence number)] 


Acknowledgement number 
Header length: 20 byti 

Flags: 0x0010 (ACK) 
window s 


300 — (relative ack number) 


日 HTTPAL.1 200 OKN 
Request Versio 
Response code 

Date: Thu, 05 Aug :20:24 GMT\r\n 

Server: Apache/1.0 Cunix)\r\n 

Set-cookie: CP.GUTC«128.107.241.135.93401091701224384; path=/; expires=Mon, 30-Jul-29 10:2 
Transfer-Encoding: chunked\r\n 

Content-Type: ext/hrtmTNrNn 

Connection: close\r\n 

HTTP chunked response 

[unreassembled Packet: HTTP] Ir) 

FL T = 

[030 3 T 

0040 

looso 

0060 

0070 

0080 

0090 

looao 

loobo 


PEE ttt 


looeo 
loofo 
lo100 
0110 
lo120 
lo130 


2 


LLLIZTIZZISNCIT 
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如 图 6-9 和 图 6-10 所 示 ,服务 器 发 送 最 后 一 个 数据 后 ,客户 端 对 收 到 的 所 有 数据 进行 确 
认 。 接 下 来 如 果 客 户 端 没有 其 他 的 请 求 ,服务 器 就 与 客户 端 进行 TCP 4 次 握手 , 断 开 连 接 。 


Fe Eat 


=) 


DEE 
[eire] 


WITP 
HTTP 


EE3E 


i 


医 
WTTP/1.1 200 OK[Unreasser 
Continuation or non-HTTP. 


B Ethernet II, €: 00:0a:f4:32:b7:ff, Dst: 00:60:08:82:d2:19 
® Internet Protocol, src Addr: 198.133.219.25 (198.133.219.25), Ost Addr: 10.214.6.15 (10.214.6.15) 
Transmission control Protocol, sre Port: http (80), Ost Port: 1213 (1213), Seq: 2761, Ack: 300, Li 
Source port: http (80) 
Destination port: 1213 
Sequence number: 2761 (relative sequence number) 
[Next sequence number: 2865 (relative sequence number)] 
Acknowledgement number: 300 — (relative ack number) 
Header length: 20 bytes 
Flags: 0x0018 (PSH, ACK) 
window size: 16384 
Checksum: 0x9552 (corr 
a Hypertext Trans 
Data (104 bytes) 


213) 


EXE a 
@ exi x eS] re [- ers [a] ejje] seriis] 
一 ae 
Ep ECT 
13 3.443245 .133.219.25 HTTP HTTP/1.1 200 oK[Unreasser 
14 3.444410 198.133.219.25 HTTP Continuation or non-HTTP 
4 A 7 
T = 
Frame 16 (54 bytes on wire, 54 bytes captured) 
Bethernet II, src: 00:60:08:82:d2:19, Dst: 00:0a:f4:32:b; E 
® Internet Protocol, src Addr: 10.214.6.15 (10.214.6.15), Ost Add! 198.133.219.25 (198.133.219.25) 


transmission Control Protocol, Sre Port: 1213 (1213), Dst Port: http (80), Seq: 300, Aci 


Source port: 1213 (121: 
Destination port: http (80) 
Sequence number: 300 (relative sequence number) 
A 


Header length: 20 bytes 
Flags: 0x0010 Cack) 

window s 

Checksum: Oxal5e (correct) 
m [sEQ/AcK analysis] 


2865, Ly 


rj 
noon 00 ga fa 32 b7 ff 00 60 08 SZ dz 19 08 00 
0010 oo 28 11 09 40 00 80 06 37 43 Qa dé 06 Of c6 85 
(0020 db 19 04 bd 00 50 68 33 88 4f EMENI 50 10 
0030 40 bo al Se 00 00 
7 
| carter Cow SO E 


图 6-10 


#68 HTTP 


Fie Git ew 


| la ERES RE EE SE IEEE ale] Fox S| 
neje -一 一 一 


m. f b= = races Tes 
Ti 3.228723 10.214.6.15 398.133.219.25 HTTP GET / MITP/I.1 
13 3.443245 198,133. 219.25 10.214.6.15 HTTP —— HITF/1.1 200 Ok[unreassembled packe 
14 3.444410 — 198.133.219.25 30.214.6.15 HTTP continuation or non-HTTP traffic 
15 31444554 — 198.133.219.25 30:214:6.15 HTTP Continuation or non-HTTP traffic 
19 3.651477 — 198.133.219.25 30.214:6.15 HTTP continuation or non-HTTP traffic 
20 3.652641 198.133.219. 25 30.214:6.15 HTTP Continuation or non-HTTP traffic 
22 31653807 — 198.133.219.25 30.214:6.15 HTTP continuation or non-HITP traffic 
24 3.655006 198.133.219.25 10214.6.15 HTTP continuation or non-HTTP traffic 
29 3.861532 198.133. 219.25 HTTP Continuation or non-HTTP traffic 
30 3.862695 198.133.219. 25 HTTP continuation or non-HITP traffic 
31 3.863861 198.133.219.25 10.214.6.15 HTTP Continuation or non-HTTP traffic 
33 3,865028 — 198.133.219.25 10:214:6.15 HTTP Continuation or non-HTTP traffic 
34 3.866217 — 198.133.219.25 10.214:6.15 HTTP Continuation or non-HTTP traffic 
37 3.973879 — 198.133.219.25 30.214.6.15 HTTP  HTTP/A.1 200 Ok Capplication/x-java 
38 3.974060 198.133.219.25 10.214.6.15 HTTP. Continuation or non-HTTP traffic 1 
I — T 


Frame 27 (373 bytes on wire, 373 bytes captured) 
Ethernet II, src: 00:60:08:82:d2:19, Dst: 00:0a:f4:32:b7:ff 
E Internet Protocol, src Addr: 10.214.6.15 (10.214.6.15), Dst Addr: 198.133.219.25 (198.133.219.25) 
B Transmission Control Protocol, Src Port: 1214 (1214), Dst Port: http (80), Seq: 1, Ack: 1, Len: 319 
E hypertext Transfer Protocol 
Ber /swa/]/csco.detect.]s WTTP/1.1N'in 

Accept: */*\r\n 

Referer: http://www. cisco. com/\r\n 

Accept-Language: zh-cn\r\n 

Accept-Encoding: gzip, deflate\r\n 

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; windows NT 5.0; .NET CLR 1.1.4322)\r\n 

Host: www. cisco. com\r\n 

Connection: Keep-alive\r\n 


Et] 
0150 
0150 
0170 
TTP Coste Gip cook) STO yt poan | 


图 6-11 
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7.1 Telnet 协议 概述 


Telnet(Telecommunication Network Protocol, 电 信 网 络 协议 ) 起 源 于 
1969 年 的 ARPANET., 它 是 一 种 最 老 的 Internet WJH. Telnet 使 用 TCP 端 
口 23 来 提供 远程 登录 ,几乎 每 个 TCP/IP 的 实现 都 提供 这 个 功能 , 它 能 够 运 
行 在 不 同 操作 系统 的 主机 之 间 。Telnet 通过 客户 进程 和 服务 器 进程 之 间 的 
选项 协商 机 制 ,确定 通信 双方 可 以 提供 的 功能 ,如 图 7-1 所 示 为 客户 -服务 器 
模式 的 Telnet, Telnet 客户 进程 和 服务 器 进程 一 般 只 是 属于 用 户 应 用 程序 ， 
终端 用 户 端 通过 键盘 输入 的 数据 送 给 操作 系统 内 核 的 终端 驱动 进程 ,由 终端 
驱动 进程 把 用 户 的 输入 送 到 Telnet 客户 进程 ,Telnet 客户 进程 把 收 到 的 数 
据 传 送 给 TCP. h TCP 负责 在 客户 端 和 服务 器 端 建 立 TCP 连接 ,数据 就 通 
过 TCP 连接 送 到 了 服务 器 端 ,服务 器 的 TCP 层 将 收 到 的 数据 送 到 相应 的 应 
用 层 Telnet 服务 器 进程 。 由 于 Telnet 服务 器 进程 只 是 应 用 层 程 序 ,不 能 直 
接 处 理 来 自 客户 端的 (解释 或 执行 ) 数 据 , 一 些 执行 命令 只 能 通过 服务 器 端的 
操作 系统 来 完成 ,因此 ,Telnet 服务 器 进程 把 收 到 的 客户 端 数据 通过 一 个 叫 
“ 擅 终 端 驱动 ? 送 到 服务 器 端的 登录 Shell 进程 ,同时 ,Telnet 服务 器 进程 也 接 
收服 务 器 内 核 送 到 客户 端的 结果 ,然后 Telnet 服务 器 进程 再 把 收 到 的 结果 通 


Telnte 客 户 进程 Telnet 服 务 器 进程 | | 登录 shell 


o 


1 
H TCP/TP 伪 终 端 驱动 
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过 TCP 连接 传送 给 Telnet 客户 端 进程 。“ 伪 终端 驱动 ”可 以 解释 为 Telnet 服务 器 进程 到 操 
作 系 统 内 核 的 接口 ,负责 在 Telnet 服务 器 进程 和 登录 Shell 进程 之 间 传 送 数据 ,对 于 登录 
Shell 来 讲 , 它 直接 被 Telnet 服务 器 进程 调用 ,任何 运行 在 登录 Shell 进程 处 的 程序 感觉 是 
直接 和 一 个 终端 在 打交道 。 

Telnet 可 以 运行 在 不 同 的 操作 系统 之 间 ,那么 不 同 的 操作 系统 之 间 使 用 的 命令 不 同 , 比 如 
一 些 操作 系统 需要 每 行文 本 用 ASCII 回 车 控制 符 (CR) 结 束 , 另 一 些 系统 则 需要 使 用 ASCH 换 
行 符 (LF) ,还 有 一 些 系统 需要 用 两 个 字符 的 序列 回 车 -换行 (CR-LF); 再 比如 ,大 多 数 操作 系统 
为 用 户 提 供 了 一 个 中 断 程序 运行 的 快捷 键 ,但 这 个 快捷 键 在 各 个 系统 中 又 有 可 能 不 同 (一 些 
系统 使 用 CTRL 十 C, 而 男 一 些 系 统 使 用 ESCAPE)。 因 此 ,为 了 让 Telnet 协议 适应 异 构 环 
境 ,Telnet 定义 了 NVT(Net Virtual Terminal), NVT 定义 了 数据 和 命令 在 Internet 上 的 
传输 方式 ,如 图 7-2 所 示 。 当 客户 端 发 送 数据 时 ,客户 端 软 件 把 来 自用 户 终端 的 键盘 输入 转 
换 为 NVT 格式 发 送 到 服务 器 端 ,服务 器 端 软件 将 收 到 的 数据 和 命令 从 NVT 格式 转换 为 远 
程 系统 需要 的 格式 ; 当 服务 器 端 返回 数据 时 ,远程 服务 器 端 将 数据 从 远程 服务 器 的 格式 转 
换 为 NVT 格式 发 送 给 客户 端 ,客户 端 将 接收 到 的 NVT 格式 数据 再 转换 为 本 地 的 格式 。 


Telnet 3d Telnet 服 务 器 


ix bt NVT 字 符 集 
本 地 字符 集 本 地 字符 集 
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图 7-2 中 的 数据 离开 本 地 后 就 转换 为 NVT 字符 集 进行 传输 ,NVT 字符 集 有 两 种 类 型 : 
一 种 是 数据 字符 集 ,一 种 是 远程 控制 字符 集 。 当 传输 数据 时 ,NVT 就 用 数据 字符 集 即 NVT 
ASCII, 它 的 是 个 8 位 字符 集 ,其 中 最 高 位 是 0, 其 他 低 7 位 和 US ASCI 码 一 致 , 行 结束 处 
用 两 个 字符 CR( 回 车 ) 和 LF( 换 行 ) 表 示 序 列 结束 ,用 \r\n 来 表示 。 单 独 的 一 个 CR 也 是 以 
两 个 字符 序列 来 表示 ,它们 是 CR 和 紧 接着 的 NUL( 字 节 0), 用 \r\0 表示 。 当 传输 控制 命 
令 时 ,NVT 就 使 用 NVT 远程 控制 字符 集 , 它 是 一 个 8 位 字符 集 , 最 高 位 是 1, 最 常用 的 远程 
控制 字符 集 如 表 7-1 所 示 。 既 然 Telnet 有 两 种 字符 集 ,那么 怎么 区 分 发 送 的 是 数据 字符 还 
是 远程 控制 字符 呢 ? 

表 7-1 NVT 远 程控 制 字符 集 


字符 十 进 制 二 进 制 意 3b 
EOF 236 11101100 文件 结束 

EOR 239 11101111 记录 结束 

SE 240 11110000 子 选 项 结束 

NOP 241 11110001 无 操作 

DM 242 11110010 数据 标记 

BRK 243 11110011 断 开 

IP 244 11110111 中 断 进 程 

AO 245 11110101 异常 终止 输出 
AYT 246 11110110 对 方 是 否 还 在 运行 
EC 247 11110111 擦 除 最 后 一 个 字符 


68 | 


Vil CP/IP 协议 深入 分 析 
续 表 
字符 十 进 制 二 进 制 意 义 
EL 248 11111000 RIT 
GA 249 11111001 前 进 
SB 250 11111010 自选 项 开始 
WILL 251 11111011 同意 激活 选项 
WONT 252 11111100 拒绝 激活 选项 
DO 253 11111101 认可 选项 请 求 
DONT 254 11111110 拒绝 选项 请 求 
IAC 255 11111111 解释 (下 一 个 字符 ) 为 控制 字符 


# 7-1 中 ,有 个 GA 命令 ,Telnet 中 的 GA 命令 提供 了 一 个 机 制 ,使 “远程 ”计算 机 (服务 
器 ) 如 何 给 “本 地 ”计算 机 (用 户 ) 发 送信 号 ,告诉 对 方 现在 是 给 用 户 终端 传递 控制 的 时 间 。 当 
用 户 需 要 获得 对 终端 的 控制 时 , 它 应 该 并 且 只 能 在 这 段 时 间 传 递 。 

Telnet 的 服务 器 进程 和 客户 进程 工作 的 4 种 方式 如 下 。 


1. 半 双 工 


这 是 Telnet 的 默认 方式 ,现在 已 经 很 少 使 用 了 .用 户 输入 的 每 个 字符 回 显 到 屏幕 ,但 整 
个 一 行 完 成 前 客户 端 并 不 发 送 它 ,在 将 整个 一 行 发 送 给 服务 器 后 ,客户 端 在 接收 来 自用 户 输 
人 的 一 个 新 行 之 前 ,要 等 待 来 自 服务 器 的 GA 命令 。 它 不 能 充分 发 挥 目前 大 量 使 用 的 支持 
全 双 工 通信 的 终端 功能 。 


2. 一 次 一 字符 方式 


用 户 输入 一 个 字符 ,发 送 给 服务 器 ,服务 器 确认 收 到 的 字符 ,将 该 字符 回 显 ,除非 服务 器 
进程 端的 应 用 程序 去 掉 了 回 显 功能 .客户 确认 收 到 回 显 的 字符 。 要 进入 这 种 方式 ,只 要 激活 
服务 器 进程 的 SUPPRESS GO AHEAD( 抑 制 前 进 ) 选 项 和 ECHO 选项 。 这 可 以 通过 由 客 
户 进 程 发 送 DO SUPPRESS GO AHEAD( 请 求 激活 服务 器 的 抑制 前 进 选 项 ?请求 完成 ,也 
可 以 通过 服务 器 进程 给 客户 进程 发 送 WILL SUPPRESS GO AHEAD( 服 务 器 将 激活 抑制 
前 进 选项 ) 来 完成 。 服 务 器 进程 通常 还 会 跟着 发 送 WILL ECHO, 以 使 回 显 功能 有 效 。 缺 省 
情况 下 Telnet 登录 时 进入 字符 输入 方式 。 


3. 一 次 一 行 方式 


该 方式 通常 叫做 准 行 方式 (kludgelinemode) ,该 方式 的 实现 是 遵照 RFC858 的 。 该 
RFC 规定 : 如 果 要 实现 带 远 程 回 显 的 一 次 一 个 字符 方式 ,ECHO 选项 和 SUPPRESS GO 
AHEAD 选项 必须 同时 有 效 。 准 行 方 式 采用 这 种 方式 来 表示 当 两 个 选项 的 其 中 之 一 无 效 
时 ,Telnet 就 是 工作 在 一 次 一 行 方式 。 


4. 行 方式 
在 RFC1184 中 定义 。 行 方式 也 是 通过 客户 进程 和 服务 器 进程 进行 协商 而 确定 的 , 它 纠 


正 了 准 行 方式 的 所 有 缺陷。 行 方式 工作 在 全 双 工 状态 下 , 行 编辑 ( 回 显 、 字 符 扩 除 、 行 擦 除 
等 ) 由 客户 端 来 完成 。 目 前 比较 新 的 Telnet 实现 支持 这 种 方式 。 


7.2 选项 协商 
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Telnet 进行 连接 的 双方 首先 进行 选项 协商 ,协商 Telnet 工作 的 一 些 环境 、 工 作 方式 等 ， 
选项 协商 是 对 称 的 ,也 就 是 说 任何 一 方 都 可 以 主动 发 送 选 项 协商 请 求 给 对 方 。 对 于 任何 给 
定 的 选项 ,连接 的 任何 一 方 都 可 以 发 送 下 面 4 种 请 求 的 任意 一 个 。 


OD WILL: 发 送 方 本 身 将 激活 (enable) 选 项 。 


(2) DO: 发 送 方 想 叫 接收 端 激活 选项 。 


(3) WON'T; 发 送 方 本 身 想 禁止 选项 。 
(4) DON'T; 发 送 方 想 让 接收 端 去 禁止 选项 。 


由 于 Telnet 规则 规定 ,对 于 激活 选项 请 求 ( 如 1 和 2), 有 权 同 意 或 不 同意 。 而 对 于 使 选 
项 失效 请 求 ( 如 3 和 4) ,必须 同意 。 这 样 ,4 种 请 求 就 会 组 合 出 6 种 情况 ,如 表 7-2 所 示 。 


表 7-2 
发 送 方 fe k 方 描 述 

WILL Do PATERE 

2 WILL DON'T EAT. 

3 DO WILL T up 

bo WON'T ATE LEAT MESS 
Uu Ew eS 

5 WON'T DON'T Ee RENE 
San TTE 

6 DON'T WON'T cum 


选项 协商 需要 3 个 字 节 : 一 个 IAC 字 节 ,接着 一 个 字 节 是 WILL, DO, WON’ T x 
DON’T 这 4 个 中 的 一 个 ,最 后 一 个 ID 字 节 指明 要 激活 或 禁止 的 选项 。 选 项 协商 的 常用 选 


项 代码 如 表 7-3 所 示 。 


表 7-3 
十 进 制 十 六 进 制 说 明 
0 0x00 使 用 8 位 二 进 制 传输 
1 0x01 In] Sd Cecho) ,将 接收 到 的 字符 返回 给 发 送 者 
3 0x03 抑制 继续 前 进 (字符 方式 可 以 选择 这 个 选项 ) 
24 0x18 终端 类 型 
31 0xlF 窗口 大 小 
32 0x20 终端 速率 
33 0x21 远程 流量 控制 
34 0x22 行 方式 
35 0x23 X 显示 定位 
36 Ox24 环境 变量 
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表 7-3 中 的 终端 类 型 .终端 速率 等 的 协商 ,需要 附加 的 信息 ,比如 终端 类 型 的 协商 需要 
附加 字符 串 来 表明 终端 的 类 型 ,终端 的 速率 需要 附加 数字 来 表明 终端 的 速率 ,这 样 需要 进 一 
步 附加 数字 或 字符 串 的 协商 ,要 用 子 协商 来 定义 , 子 协商 使 用 的 NVT 字符 集 如 表 7-4 所 示 。 


表 7-4 
字符 十 进 制 意 x 
SE 240 子 选 项 结束 
SB 250 子 选 项 开始 


7.3 Telnet 报 文 分 析 


接 下 来 看 看 Telnet 的 一 次 一 个 字符 方式 的 过 程 ,客户 端 地 址 为 10. 61. 16. 11 ,服务 器 端 
地 址 为 10. 214. 6. 11。 

首先 客户 端 和 服务 器 端 进行 TCP 三 次 握手 ,如 图 7-3 所 示 的 TCP 连接 可 以 看 到 ,客户 
端 10.61.16.11 使 用 随机 端口 3148 连接 Telnet 服务 器 的 端口 23。 


Sit Vee Go Cape Araiye Statistics 


ASHES SMO ee 
i 


2.880046 10.214.6.11 .61.16. telnet > 3148 [SYN, ACK] 
2.880108 10.61.16.11 . 214.6. c 3148 » telnet ex Seq»: 
2.909859 10.61.16.11 . 214.6. Telnet Data .. 

2,911516 .— 10.214. 6.11 c 


Frame 5 (62 bytes on wire, 62 bytes captured) 
BiEthernet II, Src: 00:0b:di c0, Dst: 
E Internet Protocol. src Ad 
m TransmissTon contro o 
source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 0 (relative sequence number) 
Header length: 28 bytes 
BFlags: Ox0002 (SYM) 
window size: 65535 
Checksum: Oxc108 (correct) 
options: (8 bytes) 


[0000 00 7 67 98 3 C2 83 cO 08 00 4$ 00 
ooro 00 30 82 ca 40 00 Ed EH 0 0b 0a de 
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字符 方式 只 要 激活 服务 器 进程 的 SUPPRESS GO AHEAD( 抑 制 前 进 ) 和 ECHO 选项 
即 可 ,如 图 7-4 所 示 ,客户 端 发 起 DO SUPPRESS GO AHEAD 选项 协商 ,表示 客户 端 请 求 
激活 “抑制 前 进 ” 选 项 。 在 这 个 命令 中 ， PAT E cubs ff fb 03. ErP, ff ART 
面 讲 到 的 IAC. fd 是 命令 DO 的 十 六 进 制 代码 ,03 是 SUPPRESS GO AHEAD 选项 的 
代码 。 

如 图 7-5 所 示 ,服务 器 端 发 送 TCP 确认 .确认 收 到 图 7-4 的 报 文 。 
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sakke aleez] RISES] 
ECEE] 


Fie p Dennatn 四 

2.104992  Cisco-e6:ce: Cisco e6:ce:ce Repl 

2.878613 .61.16. .6.11 3148 > telnet [SYN] seq=( 
2.880046 g +6. 16.11 telnet > 3148 [SYN, ACK] 
2 


880108 61.16. ir c 3148 > telnet [ack] Sega: 


3 
5 
6 
7 
E) 


911516 


RI 


Frame 8 (57 bytes on wire, 57 bytes captured) 
BiEthernet II, Src: 00:0b:db:c2:83:c0, DSt: 00:0f:f7:67:98:3f 
HiInternet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
日 Transmission control Protocol, Src Port: 3148 (3148), Dst Port: telnet (23), seq: 1, Ack: 1, Len: 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 1 ^ (relative sequence number) 
[Next sequence number: 4 ^ (relative sequence number)] 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0018 (PSH, ACK) 
window size: 65535 
Checksum: Oxedca (correct) 


67 98 3f 00 0b db c2 83 cO 08 00 45 00 

ca 40 00 80 06 4c da Oa 3d 10 Ob Oa dé 

c 00 17 2f 31 5b Sb Oa be fb 2a 50 18 
ff ff e4 ca 00 00 i 


Go Caen 


加 ee 


A mes senom_|cws| woy | 


a - 214.6. telnet » 3148 [SYN, ACK] 
. 880108 . 61.16. i +6. 3148 > telnet [Ack] Seq=- 
909859 61.16. E Telnet 


TELNET Telnet 


Termer Telnet 


Frame 9 (60 bytes on wire, 60 bytes captured) 

HiEthernet II, Src: 00:0f:f7:67:98:3f, DST: O0:0b:db:c2: 

HiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Ost Addr: 10.61.16.11 (10.61.16.11) 

日 Transmi1ssion Control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), Seq: 1, Ack: 4, Len: 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 1 .. (relative sequence number) 


Header length: 20 bytes 
国 Flags: Ox0010 (ack) 
window size: 5840 
Checksum: Oxd100 (correct) 
国 [sEQ/Ack analysis] 


7 67 98 3f 08 00 45 00 
S0 Qa d6 06 ob Qa 3d 


00 
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图 7-5 


如 图 7-6 所 示 ,服务 器 端 发 起 选项 协商 .可 以 看 到 选项 内 容 : 终端 类 型 .终端 速度 .显示 
定位 选项 .环境 变量 。 这 里 用 DO 表示 服务 器 端 希望 客户 端 在 子 协商 中 发 送 关 于 这 些 选项 
协商 的 数据 。 图 中 黑色 部 分 十 六 进 制 数 ff fd 18 表示 IAC DO TERMINAL TYPE, 表 
明 服 务 器 端 想 在 一 个 后 续 子 协 商 中 接收 客户 端 发 送 的 关于 终端 类 型 的 信息 。 
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接 下 来 ff fd 20 表示 IAC DO TERMINAL speed, 表 明 服务 器 端 想 在 一 
商 中 接收 客户 端 发 送 的 关于 终端 速率 的 信息 。 
ff fd 23 表示 IAC DO X DISPLAY LOCATION .表明 服务 器 端 希望 在 子 协商 中 接受 X 


显示 定位 。 


后 续 子 协 


最 后 是 ff fd 27 表示 IAC DO NEW ENVIRON option, 表 明 服 务 器 端 希望 接收 环境 变 


量 参 数 。 


[4/2] lela) KBs 
EE | Com] ety] 


909859 


Telnet Data .. 
21516 


telnet > 3148 [ack] seq-- 


m Frame 10 (66 bytes on wire, 66 bytes captured) 
167:98:3f, DSt: O0:0b:db: 0 
Addr: 10.214.6.11 (10.214.6.11), DSt Addr: 10.61.16.11 (10.61.16.11) 
E Transmission Control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), Seq: 1, Ack: 4, Len: 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 1 (relative sequence number) 
[Next sequence number: 13 (relative sequence number)] 
Acknowledgement number: 4 ^ (relative ack number) 
Header length: 20 bytes 
GiFlags: OxOO18 (PSH, ACK) 
5840 


Do Terminal Type 

Do Terminal Speed 

Do x Display Location 
Command: Do New Environment option 


—— 
00 34 34 e8 40 00 3b 06 df b3 Oa d6 06 Ob Oa 3d 
10 ob 00 17 Oc 4c Oa be fb 2a 2f 31 Sb Se $0 18 
16 do 99 a9 OO 00 GaucNNEENRGETI 

acm 


Feiner tuner. Tz ioter — — — jexemws | 


图 7-6 


如 图 7-7 所 示 ,客户 端 同意 发 送 终端 类 型 。 


‘Fie Git ew Oo Copwa Mralyw ater 


|] |i x [ev] | e| e[si EELCKE] 


10.61.16.11 214.6. TELNET 

10.214.6.11 . 61.16. TCP 

10.214.6.11 61.16. TELNET 
1i 


Telnet Data . 
telnet > 3148 [ack] seq«: 
Telnet Data ... 


Frame 11 (57 bytes on wire, 57 bytes captured) 
Bethernet I1, src: 00:0b:db:c2:83:c0, DST: 00: : : 
internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Ost addr: 10.214.6.11 (10.214.6.11) 
E Transmission control Protocol, src Port: 3148 (3148), Ost Port: telnet (23), Seq: 4, Ack 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 4 ^ (relative sequence number) 
[Next sequence number: 7 ^ (relative sequence number)] 
Acknowledgement number: 13 ^ (relative ack number) 
Header length: 20 bytes 
BFlags: OxO018 (PSH, ACK) 
window size: 65523 
Checksum: Oxcfc9 Scorrect) 
m [sEQVACK analy: 
CRE 
‘Command: will Terminal Type 


213, Len 


”| 


5000 00 OF f7 67 98 3f 00 0b db c2 83 cO 08 00 45 00 
010 00 2b 82 cb 40 00 BO 06 4c d9 Oa 3d 10 Ob Oa d6 
0020 06 Ob Oc 4c 00 17 2f 31 5b Se Oa be fb 36 50 18 
0030 ff f3 cf co 00 00 ig 


[rara nune yer 


如 图 7-8 所 示 ,服务 器 端 同意 抑制 前 进 选项 。 


‘Capture Analyze Saisies Hap 
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$739 Telnet tp 


| les] [e| Tera] eee 


TELNET 
TELNET 


Telnet 
Telnet 


7983868 10.61.16.11 


TELNET 


BiFrame 12 (60 bytes on wire, 
Bethernet II, src: 00:0f:f7 
M Internet Protocol, src Addr 
B Transmission Control Protocol, src Port: 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 13 (relative sequence number) 
[Next sequence number: 16 ^ (relative sequence nunber)] 
Acknowledgement number: 7 (relative ack number) 
Header length: 20 bytes 
GFlags: 0x0018 (PSH, ACK) 
window size: 5840 
Checksum: Oxcdea (correct) 
图 [SEQ/ACK analysis] 
net 
Command: will Suppress Go Ahead 


60 bytes captured) 
98:3f, pst: 00:0b:db 


telnet (23), Dst Port: 


10.214.6.11 (10.214.6.11), ost Addr: 10.61.16.11 (10. 61.16.11) 
3148 (3148), seq: 13, aci 


:7, Len 


O0 Ob db c2 83 c0 00 OF f7 67 98 3f 08 00 45 00 


00 2b 34 e9 40 00 3b 06 df bb Oa d6 06 Ob Qa 3d 
10 Ob 09 17 oc 4c Ga be tb 36 2f 31 Sb 61 $0 18 
16 do cd ea 00 900 


图 78 


如 图 7-9 Brz ,客户 端 拒绝 对 终端 速度 .显示 定位 选项 
户 端 不 会 发 送 关 于 服务 器 端 请 求 的 跟 这 些 选项 有 关 的 数据 。 


\ 环 境 变量 进行 


协商 ,也 就 是 说 客 


10.214.6.11 
10.61.16.11 
10.214.6.11 


10.61.16.11 TELNET 
TELNET 


TELNET 


BFrame 13 (63 bytes on wire, 63 bytes captured) 
HiEthernet II, src: 00:0b:db:c2:83:c0, ost: 00:0f:f7:67:98:3f 
BiInternet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Ost addr: 
E Transmission Control Protocol, Src Port: 3148 (3148), Ost Port: 

Source port: 3148 (3148) 

Destination port: telnet (23) 

Sequence number: 7 (relative sequence number) 

[Next sequence number: 16 ^ (relative sequence nunber)] 

Acknowledgement number: 16 ^ (relative ack number) 

Header length: 20 bytes 

加 Flags: 0x0018 (PSH, ACK) 
window size: 65520 


Checksum: Oxa39f (correct) 
m [seq/ack analysis] 
i 
Command: won't Terminal Speed 
Command: won't x Display Location 
Command: won't New Environment option 


10.214.6.11 (10.214.6.11) 
telnet (23), seg: 


7, ack: 16, Len 


09 31 82 cc 40 00 80 06 4c d2 0a 3d 10 ob 0a dé 
06 Ob Oc 4c 00 17 2f 
ff fo a3 9f 00 00 (Md 


如 图 7-10 所 示 ,服务器 发 起 对 终端 类 型 进行 子 协商 .可 以 看 到 这 
begin 开 


个 子 协商 用 suboption 


始 ,协商 关于 是 关于 终端 类 型 ,要 求 客户 端 发 送 终端 类 型 ,最 后 如 图 7-11 所 示 用 
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Suboption End 结束 这 个 子 协 商 。 


15 2.984944 10.61.16.11 10.214.6.11 
6 2.986177 10.214.6.11 10.61.16.11 


Frame 14 (60 bytes on wire, 60 bytes captured) 

@ethernet II, src: 0i 67:98:3f, Dst: 00:0b:db:c2:83:c0 

Binternet Protocol, src addr: 10.214.6.11 (10.214.6.11), Dst addr: 10.61.16.11 (10.61.16.11) 

E Transmission Control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), seq: 16, ack: 16, Lei 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 16 — (relative sequence number) 


[Next sequence number: 22 — (relative sequence number)] 
Acknowledgement number: 16 — (relative ack number) 
Header length: 20 bytes 

B Flag: 0x0018 (PSH, ACK) 
window size: 5840 
Checksum: Oxb8ea (correct) 

图 [sEQVAck analysis] 

B Telnet 


Send your Terminal Type 
Command: suboption End 


Fr 一 一 


[DO00 00 Ob db c2 83 cO 00 OF f7 67 98 3f 08 00 45 00 
O010 00 2e 34 ea 40 00 3b 06 df b7 Oa d6 06 Ob Qa 3d 
0020 10 Ob 00 17 Oc 4c Oa be fb 39 2f 31 5b 6a 50 18 
0030 16 do b8 ea 00 00 ENEWNNENG! ff Fo 


Trium 


图 7310 


Fe Bit lew Go Capture Analy Staios Hep 


a) S12 lS] B+ 1215/2) Qala) POE 


cr 
TELNET Telnet Data 
14 2.984763 214. 10.61.16.1 pr Telnet Data 
15 2.984944 — 10. E 10.214.6.11 TELNET Telnet Data 
16 2.986177 — 10.214.6.11 10.61.16.11 TELNET Telnet Data .. 


Frame 14 (60 bytes on wire, 60 bytes captured) 
ethernet II, src: 00: 167:98:3f, ost: 00:0b:db:c2:83:c0 
internet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
ETransmission control Protocol, Src Port: telnet (23), Ost Port: 3148 (3148), seq: 16, ack: 16, Lel 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 16 (relative sequence number) 
[Next sequence number: 22 (relative sequence number)] 
Acknowledgement number: 16 (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: OxbBea (correct) 
B [SEQ/ACK analysis] 
& Telnet 
S suboption Begin: Terminal Type 
Send your Terminal Type 


98 3f 08 00 45 00 
ea 40 00 3b 06 df b7 Oa dé 06 Ob Qa 3d 
17 0c 4c Qa be fb 39 2f 31 Sb 6a 50 18 
ea 00 00 ff fa 18 01 ümmi 


如 图 7-12 所 示 ,客户 端 发 送 子 选项 协商 终端 类 型 的 数值 ,图 中 十 六 进 制 数 ff fa 18 表 
示 客 户 端 对 终端 类 型 的 子 协 商 开 始 , 十 六 进 制 数 00 表示 后 续 的 值 用 8 位 二 进 制 发 送 ， 
76 74 31 30 30 对 应 ASCII 码 vt100 。 
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$739 Telnet tp 


‘Fle ER Mes Go Cape May Saites Hep 


à saie eee] ea eoe E] 
= EU 


13 2.983868 
14 2.084763 


16 2.986177 


IT 
BiEthernet II, src: 00:0b:db:c2:83:c0, Ost: 00:0f:f7:67:98:3f 
m Internet Protocol, src addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
B Transmission Control Protocol, Src Port: 3148 (3148), Ost Port: telnet (23), Seq: 16, ack: 22, 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 16 (relative sequence number) 


[Next sequence number: 27 (relative sequence number)] 
Acknowledgement number: 22 (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0018 (PSH, ACK) 
window size: 65514 
Checksum: 0x0712 (correct) 
8 [SEQ/ACK analysis] 
B Suboption Begin: Terminal Type 
Here's my Terminal Type 
value: vt100 
Suboption End 


DO10 00 33 82 cd 40 00 80 06 4c cf Oa 3d 10 Ob Oa dé 
D020 96 Ob Qc 4c 00 17 2f 51 Sb Ga 0a be fb 3f 50 18 

0030 ff ea 07 12 00 00 i P 
[0040 " 


[fees Tome qum 


图 712 


如 图 7-13 所 示 ,服务 器 发 起 回 显 、 协 商 窗 口 的 尺寸 ,状态 信息 .远程 流 控制 等 选项 协商 。 
DO 表明 服务 器 请 求 客 户 端 发 送 关于 选项 的 数据 ,如 DO Echo 表明 服务 器 请 求 客 户 端 回 显 
收 到 的 字符 。Will 表明 服务 器 自身 想 发 送 关 于 选项 的 数据 ,如 Will status 表明 服务 器 想 发 


EE 


PISIS Sle (01/2) Vale) "Ds SI 


| waa eene | iom [vovv 


Telnet Data. 


17 2.986335 10.61.16.11 4.6. Telnet Data ... 
18 31027058 — 10.214.6.11 10.61.16.11 telnet > 3148 [ack] seq], 


二 


BiFrame 16 (66 bytes on wire, 66 bytes captured) 
HiEthernet II, src: 00:0f:f7:67:98:3f, Ost: d 
国 Internet Protocol, src addr: 10.214.6.11 (10.214.6.11), Ost Addr: 10.61.16.11 (10.61.16.11) 
日 Transmission Control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), Seq: 22, ack: 27, Lei 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 22 ^ (relative sequence number) 
[Next sequence number: 34 ^ (relative sequence number)] 


Acknowledgement number: 27 — (relative ack number) 
Header length: 20 bytes 
国 Flags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Oxce86 (correct) 
B [SEQ/ACK analysis] 
n 


Do wegotiate About window size 
will Status 
DO Remote Flow Control 


oolo 00 34 34 eb 40 00 3b 06 df bo Oa d6 06 Ob Oa 3d 
0020 10 Ob 00 17 Oc 4c Qa be fb 3f 2 
0030 16 do ce 86 00 00 (imo 


E 713 
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如 图 7-14 所 示 ,客户 端 拒绝 回 显 接收 到 的 字符 。 


Fi Em ew Go Capture Anayo Sutter 


加 | 21> 2) @l+|> ESE ESSE VEZ ESTEE ESES)] 


EX /| A Expression | im ooo 


18 3.027058 — 10.214.6.11 


p—————— Á———— E NE 


Brrame 17 (57 bytes on wire, 57 bytes captured) 
BHiEthernet II, src: 00:0b:db:c2:83:c0, Dst: 00:0f:f7:67:98:3f 
HiInternet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
日 Transmission Control Protocol, Src Port: 3148 (3148), Dst Port: telnet (23), seq: 27, aci 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 27 ^ (relative sequence number) 
[Next sequence number: 30 ^ (relative sequence number] 
Acknowledgement number: 34 ^ (relative ack number) 
Header length: 20 bytes 
HiFlags: Ox0018 (PSH, ACK) 
window size: 65502 
Checksum: Oxe6bl (correct) 
SEQ/ACK analysis] 
et 
Command: won't Echo 


De 


[o000 00 OF f7 67 3f 00 0b db c2 83 cO 08 00 45 00 
010 00 2b 82 ce 00 80 06 4c d6 Oa 3d 10 Ob Oa de 
0020 06 Ob Oc 4c 00 17 2f 31 Sb 75 0a be fb 4b 50 18 
(0030 FF de e6 bl 00 00 


ea —_— O ůġO 


Frame 18 (60 bytes on wire, 60 bytes captured) 
ethernet II, src: 00:0f:f7:67:98:3f, Dst: 00:0b:db:c2:83:cO 
BiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
transmission control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), Seq: 34, Ack: 30, Lell 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 34 ^ (relative sequence number) 


um 
Header lengti 0 bytes 

国 Flags: OxO010 (ACIÓ 
window size: 5840 
Checksum: OxdOc5 (correct) 
[SEQ/Ack analysis] 


00 0b db c2 83 cO 00 7 67 98 3f 08 00 4$ 00 ... 
00 28 34 ec 40 00 3b 06 df bb Oa d6 06 Ob 0a 3d — .(4.6. 
10 Gb 00 17 Oc 4c Oa be fb 4b OMI 50 10 

16 do do c5 00 00 00 00 00 00 00 00 


['ckroeledgement namber Gop ac). dbytes mw | 


图 735 


远程 流 控制 。 


如 图 7-16 所 示 ,客户 端 发 送 关于 


aaae 


/| au Expression | cem Apply 


Proci — [we 
TELNET Telnet Data... 


TELNET Telnet Data 


TCP telnet > 3148 [ack] sei 


BiInternet Protocol, src addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214. 
日 Transmission control Protocol, src Port: 3148 (3148), Dst Port: telnet (23), seq: 30, 

Source port: 3148 (3148) 

Destination port: telnet (23) 

Sequence number: 30 (relative sequence number) 

[Next sequence number: 48 (relative sequence number)] 

Acknowledgement number: 34 ^ (relative ack number) 

Header length: 20 bytes 

Flags: OxO018 (PSH, ACK) 

window size: 65502 

Checksum: Oxcbbc (correct) 
E Telnet 


B Suboption Begin: Negotiate About window Size 
width: 132 
Height: 48 
Command: Suboption end 
Command: Don't status 
Command: will Remote Flow Control 


6.11) 
ack: 


oolo 00 3a 82 cf 40 00 80 06 4c c6 Oa 3d 10 Ob Oa dô 
0920 06 ob Cc 4c 00 17 2 31 Sb 78 0a be fb 4b 50 18 
0030 le cb bc 00 00 Mma a 1f 00 84 00 30 
oo40 ff fO ff fe 05 ff 


FR | 


图 7-16 


如 图 7-17 所 示 ,服务 器 将 回 显 接收 到 的 字符 ,同时 服务 器 发 送 数据 给 


Tie Em ew Oo Capture Analyze Stmisios Hep 


客户 端 。 


ESTEE TEES ESTE 3ESESYS YS EZESESES 
ESI /| na Expression... | coz| Apply| 


ws [we [ewe [pen [exem — Ten. 


027142 — 10.61.16.11 10.214.6.11 TELNET Data 


18 3.027058  10.214.6.11 10.61.16.11 Tee telnet > 3148 TACK) Seq= 


Frame 20 (129 bytes on wire, 129 bytes captured) 
BiEthernet II, src: 00:0f:f7:67:98:3f, Dst: 00:0b:db:c2:83:cO 


Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 34 ^ (relative sequence number) 
[Next sequence number: 109 ^ (relative sequence number)] 
Acknowledgement number: 48 ^ (relative ack number) 
Header length: 20 bytes 
Flags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Ox9ce6 (correct) 
m [SEQ/ack analysis] 
a Telnet 
Command: will Echo 
Data: Red Hat Linux release 7.3 (valhalla)\r\n 
Data: Kernel 2.4.18-3bigmem on an i686 rn 


m Internet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
日 Transmission control Protocol, Src Port: telnet (23), Dst Port: 3148 (3148), seq: 34, Ack: 48, Lell 


64 20 48 6l 74 
20 37] 


息 , 同 意 
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服务 器 端 回 显 接收 到 的 字符 。 


x] a] 
ESSI 


Telnet Data 
Telnet Data 


Frame 21 (57 bytes on wire, 57 bytes captured) 
BiEthernet II, sre: of 1€2:83:C0, Dst: 00:0f:f7:67:98:3f 
E Internet Protocol, sre Addr: 10.61.16.11 10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
B Transmission control Protocol, src Port: 3148 (3148), Dst Port: telnet (23), Seq: 48, Ack: 109, Li 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 48 (relative sequence number) 
[Next sequence number: 51 (relative sequence number)] 
Acknowledgement number: 109 ^ (relative ack number) 
Header length: 20 bytes 
Bi Flag: Ox0018 (PSH, ACK) 
window size: 65427 
Checksum: Oxe69b (correct) 
B [SEQ/ACK analysis] 
Command: Do Echo 


mE 


[S000 00 OF #7 67 98 3f 00 ob db c2 83 c0 08 00 45 00 
OlQ 00 2b 82 do 40 00 80 06 4c dé Oa 3d 10 Ob Qa dé 
020 06 Ob Oc 4c 
0030 ff 93 e6 9b 


[EEC 


如 图 7-19 所 示 ,服务 器 端 发 送 “login: ”字符 串 。 


Res Roc 


x [ejg] a e| [se 4/2) ajaja] Bis x teo] 
/| rs Expression | com] appiy| 


22 36 0.214.6.11 @1.16.1 TELNET Telnet Data 
23 3.449383 10.61.16.11 10.214.6.11 TCP 3148 > telnet [ACK] Seq=! 
24 4.009405 — cisco e6:ce: Spanning-tree-(for-br STP Conf. Root = 32784/00:0f [7 


二 


Frame 22 (61 bytes on wire, 61 bytes captured) 
HiEthernet II, src: 00: 67:98:3f, Ost: O0:0b:db:c2:83:c0 
BiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
日 Transmission control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), seq: 109, Ack: 51, Li 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 109 — (relative sequence number) 
[Next sequence number: 116 (relative sequence number)] 
Acknowledgement number: 51 ^ (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Ox6e43 (correct) 
m [SEQ/ACK analysis] 
t 
Data: logi 


00 0b db c2 83 cO 00 7 67 98 3f 08 00 4$ 00 ...... i 
00 2f 34 fO 40 00 3b 06 df bO Oa dé 06 Ob Qa 3d  ./4.0.;. .... 

10 Ob 00 17 Oc 4c Oa be fb 96 2f 31 5b Bd 50 18  .....L.. ape. 
16 do 6e 43 00 00 GfaMCDALTNETNEE PIS B 


如 图 7-20 所 示 ,客户 端 发 送 TCP 确认 ,确认 收 到 字符 串 。 
如 图 7-21 所 示 ,客户 端 发 送 用 户 名 root 中 的 第 一 个 字符 “r” 


如 图 
如 图 
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Fle ER Mes Go Cape Maye Saites Hep 


图 |x | 多 | 吕 | ej «|» e[s[a] Qala) (BEX 加 | 
ECESE] 


= Time [souve. Desinaton. nto 
22 3.237986 110.214. 6.11. 10.61.16.11 Telnet Data .. 


Conf. Root = 32784/00:0f 


Frame 23 (54 bytes on wire, 54 bytes captured) 
BiEthernet II, src: 00: c2:83:c0, Ost: 00:0f:f7:67:98:3f 
BiInternet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
Transmission control Protocol, src Port: 3148 (3148), Dst Port: telnet (23), Seq: 51, Ack: 116, Li 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 51 (relativa sequence number 


Header Tength: 20 bytes 
GiFlags: OxO010 (ACK) 

window size: 65420 

Checksum: Oxe7al (correct) 
8 [SEQ/ACK analysis] 


[D000 00 OF f7 67 98 3f 00 Ob db c2 83 cO 08 00 45 00 
0010 00 28 82 di 40 00 80 06 4c dé Oa 3d 10 0b Qa dé 
10020 06 Ob Oc 4c 00 17 2f 31 5b Sd SENETN&SEE 50 10 
0030 ff 8c e7 al 00 00 


[|esroekedgenent rame (cp ak) aoier Toa SIMD 


23 3.449383 — 10. 61.16.11 10.214.6.11 3148 > telnet [ACK] seq=! 
24 4.009405 Cisco e6:ce:ce tree-(for-br STP Conf. Root = 32784/00: 


Telnet Data 


Frame 25 (55 bytes on wire, 55 bytes captured) 
methernet II, src: 00:0b:db:c2:83:c0, Ost: 00:0f:f7:67:98:3f 
internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
E Transmission control Protocol, src Port: 3148 (3148), Dst Port: telnet (23), seq: 51, Ack: 116, L| 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 51 (relative sequence number) 
[Next sequence number: 52 (relative sequence number)] 
Acknowledgement number: 116 ^ (relative ack number) 
Header length: 20 bytes 
BFlags: 0x0018 (PSH, ACK) 
window size: 65420 
Checksum: 0x7598 (correct) 


Data: r 


j000 00 OF f7 67 98 3f 00 ob db c2 83 <0 08 00 45 00 
0010 oo 29 82 d2 40 00 80 06 4c dá Oa 3d 10 Ob Qa dé 
0020 06 Ob Oc 4c 00 17 2f 31 5b Bd Oa be fb 9d 50 18 
0030 ff sc 75 98 00 00 图 


[rene nene. Toe 


图 72 


7-22 所 示 ,服务 器 端 回 显 “r”。 
7-23 所 示 ,客户 端 发 送 TCP 确认 ,确认 收 到 服务 器 端 发 送 的 回 显 。 


图 7-21 一 图 7-23 是 客户 端 输入 “r” 到 回 显 *r” 的 一 个 完整 的 过 程 , 接 下 是 %“o”“o”t” 字 符 


输入 与 


回 显 ,过程 是 一 样 的 ,在 这 里 不 再 详细 说 明 。 
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Fie ER Vee Go Cape Aahe Stasies Hep 


国名 [图 x eS] B+) ESTEE ES SS EZ ESTE ESES] 
一 -一 一 一 一 


10.61.16.11 Telnet Data ... 


10.214. 


@Frame 26 (60 bytes on wire, 60 bytes captured) 
BiEthernet II, src: 00:0f:f7:67:98:3f, Dst: 00:0b:db 3:c0 
回 ITnternet Protocol, src addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
日 Transmission control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), Seq: 116, Ack: 52, Li 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 116 (relative sequence number) 
[Next sequence number: 117 (relative sequence number)] 
Acknowledgement number: 52 ^ (relative ack number) 
Header length: 20 bytes 
BFlags: 0x0018 (PSH, ACK) 
window size: 5840 
Checksum: OxSeS4 (correct) 
m [SEQ/ACK analysis] 


Data: 


[0000-00 Ob db c2 83 cO 00 Of f7 67 98 3f 08 00 45 00 
0010 00 29 34 f1 40 00 3b 06 df b5 Oa d6 06 Ob Qa 3d 
10020 10 Ob 00 17 Oc 4c Oa be fb 9d 2f 31 5b 8e 50 18 
0030 16 do 5e 54 00 00 [Mj 00 00 00 00 00 


fe ER Capture al; 


@> le) EE ESTER ESTE 3E SESS S VEZ TESTES ES ES] 
[wm | 


PIENE 


TELNET 
TCP 


Cisco el 


z 


@Frame 27 (54 bytes on wire, 54 bytes captured) 
Higthernet II, src: 00:0b:db:c2:83:c0, Ost: 00:0f:f7:67:98:3f 
internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
BiTransmission control Protocol, src Port: 3148 (3148), Dst Port: telnet (23), seq: 52, ack: 117, L| 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number (relative sequence number) 


Flags: 0x0010 CACK) 
window size: 65419 
Checksum: Oxe7a0 (correct) 

[seq/ack analysis] 


[000 00 OF f7 67 98 3T 00 Oo db c2 83 c0 08 00 45 00 
0010 oo 28 82 d3 40 00 80 06 4c d Oa 3d 10 Ob Oa dé 
0020 06 Ob Oc 4c 00 17 2f 31 5b 8e 5010 
0030 ff sb e7 a0 00 00 


[pekmosedpemennambeüepak)dhyus 和 mo | 


图 7-23 


输 完 用 户 名 , 接 下 来 如 图 7-24 所 示 ,服务 器 发 送 字符 串 “password:”。 
如 图 7-25 所 示 ,客户 端 发 送 TCP 确认 。 

如 图 7-26 所 示 ,客户 端 发 送 密码 ,可 以 看 到 图 中 密码 的 第 一 个 字符 为 “c”。 
如 图 7-27 所 示 ,服务 器 端 发 送 TCP 确认 ,确认 收 到 *c”。 


Frame 40 (64 bytes on wire, 64 bytes captured) 
BiEthernet II, src: 00: 67:98:3f, Dst: OO:0b:db:c2:83:c0 
HiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
日 Transmission control Protocol, Src Port: telnet (23), Dst Port: 3148 (3148), Seq: 122, Ack: 56, Li 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 122 (relative sequence number) 
[Next sequence number: 132 (relative sequence number)] 
Acknowledgement number: 56 (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Oxe878 (correct) 
Data: Password: 


3T 08 00 45. 
dé 06 ob Qa 
2f 51 5b 92 50 


Co Capture 


Sale loz ajajaj ee [mias] 2«] tea] 


/| waa Expression | iom [vovv 


Souve Destination me [into 


.945659 10.61.16.11 10.214.6.11 TEP. 3148 > telnet Tack] Seq=' 
40 6.950959 10.214.6.11 10.61.16.11 TELNET Telnet Data ... 


Frame 41 (54 bytes on wire, 54 bytes captured) 

Gethernet II, src: 00: €2:83:c0, OST: 00:0f:f7:67:98:3f 

internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 

日 Transmission control Protocol, Src Port: 3148 (3148), Dst Port: telnet (23), seq: 56, ack: 132, L| 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 56 .. (relative sequence number) 


Header length: 20 bytes 
GrFlags: Ox0010 (ACK) 
window size: 65404 
Checksum: Oxe79c (correct) 
m [SEQ/ACK analysis] 


[o000 00 7 67 98 3f 00 0b db c2 83 cO 08 00 4$ 00 ...9.7.- 
0010 00 28 82 da 40 00 80 06 4c cd Oa 3d 10 Ob Qa dé  .(..0... L. 

0020 06 Ob Oc 4c 00 17 2f 31 5b 92 ENHDNGENEE 50 10  ...L../1 [BBE 
ooso ff 7c e7 9c 00 00 alee 


[Rekmosedemennumbeüepak)dhys mw | 
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so[s [| QS DEER] 
m 


Dennen wen — [we 


41 7.168425 61.16. 10.214.6.11 TCP 3148 > telnet [ACK] Seq: 
42 8. 009495 isco : spanning-tree-(for-br STP Conf. Root = 32784/00: 


Frame 43 (55 bytes on wire, 55 bytes captured) 
@ethernet II, src: 00: c2:83:c0, Dst: 00:0f:f7:67:98:3f 
Internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
日 Transmission control Protocol, Src Port: 3148 (3148), Dst Port: telnet (23), seq: 56, Ack: 132, L| 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 56 (relative sequence number) 
[Next sequence number: 57 (relative sequence number)] 
Acknowledgement number: 132 ^ (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0018 (PSH, ACK) 
window size: 65404 
Checksum: 0x8493 (correct) 
Data: c 


2 ——— —————————————É———Éw 


[oo00 00 of f7 67 98 3f 00 Ob db c2 83 cO 08 00 45 00 
0010 00 29 82 db 40 00 80 06 4c cb Oa 3d 10 Ob Oa dé 
0020 06 Gb Oc 4c 00 17 2f 31 5b 92 Oa be fb ad 50 18 
o030 ff 7c 84 93 


genet) Tbyte 


x 的 SE SETBICTEIESESE VEZ ISESESES] 
/| ha Exprezsion..| Clear] Apply] 


i Souve Derinaton. Proce [inro 


42 8.009495 — Cisco e6:ce:ce Spanning-tree-(for-br STP Conf. Root = 32784/00:0f 
43 8.557868 10.214.6.11 TELNET Telnet Data... 


Frame 44 (60 bytes on wire, 60 bytes captured) 

BiEthernet II, src: 00: 67:98:3f, OST: O0:0b:db:c2:83:cO 

HiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 

日 Transmission Control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), Seq: 132, Ack: 57, L| 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 132 (relative sequence number) 


Meader length: 20 bytes 
Flags: 0x0010 CACK) 
window size: 5840 
Checksum: Oxd048 (correct) 
国 [sEQa/Ack analysis] 


(0000 00 0b db c2 83 co 00 7 67 98 3f 08 00 4$ 00 ...... 
oolo 00 28 34 f8 40 00 3b 06 df af Oa dé 06 Ob Qa 3d  .(4.6.:. .. 


0020 10 0b 00 17 oc 4c 0a be fb ad MEERI 50 10 .i 
oo30 16 do do 48 00 00 00 00 00 00 00 0i 


Eee mw | 


图 7-27 
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如 图 7-28 所 示 ,客户 端 发 送 密码 的 第 二 个 字符 “g”: 


859234 


Frame 45 (55 bytes on wire, 55 bytes captured) 
BiEthernet II, src: O0:0b:db:c2:83:c0, Ost: 00:0f:f7 : 
E Internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
B Transmission control Protocol, Src Port: 3148 (3148), Dst Port: telnet (23), seq: 57, Ack: 132, L| 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 57 (relative sequence number) 
[Next sequence number: 58 ^ (relative sequence number)] 
Acknowledgement number: 132 ^ (relative ack number) 
Header length: 20 bytes 
BFlags: Ox0018 (PSH, ACK) 
window size: 65404 
Checksum: 0x8092 (correct) 
Data: 9 


m 


[o000 00 OF f7 67 98 3f 00 Ob db c2 83 cO 08 00 45 00 
0010 oo 29 82 dc 40 00 80 06 4c ca Oa 3d 10 Ob Qa dé 
[0020 06 Ob Oc 4c 00 17 2f 31 5b 93 Oa be fb ad 50 18 
loo30 ff 7c 80 92 00 00 Bj 


genet) Tbyte 


如 图 7-29 所 示 ,服务 器 端 发 送 TCP 确认 ,确认 收 到 字符 “g”。 


SEBS! ROGGE @lelel » [GE] x) g] 


/es Expression.. | Cur] vo 


Somoe Oecnaon wea — [we 


44 8.597379 — 10.214.6.11 10.61.16.11 TCP telnet > 3148 [ACK] 5eq-- 
10. 61.16.11 10.214.6.11 TELNET Telnet Data . 


Frame 46 (60 bytes on wire, 60 bytes captured) 
@ethernet II, Src: 00:0f:f7:67:98:3f, Ost: 00:0b:db:c2:83:c0 
E Internet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
日 Transmission control Protocol, src Port: telnet (23), Dst Port: 3148 (3148), seq: 132, Ack: 58, Li 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number (relative sequence number) 


gth: 
Flags: 0x0010 CACK) 
window size: 5840 
Checksum: 0xd047 (correct) 
m [seq/ack analysis] 


(0000 00 0b db c2 83 cO 00 7 67 98 3f 08 00 45 00 
oolo 00 28 34 f9 40 00 3b 06 df ae Oa dé 06 Ob Oa 3d 


0020 10 Ob 00 17 oc 4c oa be fb 0 
0030 16 do do 47 00 00 00 00 00 00 O0 0i 


| 83 


Telnet p | 


就 这 样 ,客户 端 从 键盘 输入 密码 ,并 一 个 字符 接 一 个 字符 发 送 给 服务 器 端 ,服务 器 端 对 
an A ot HE 


每 个 收 到 的 字符 进行 TCP 确认 .直到 密码 输 :这 个 过 程 和 前 面 login 过 程 


不 同 ,服务 


84 | 
Vil CP/IP 协议 深入 分 析 


器 端 不 回 显 password 部 分 ,只 发 送 TCP 确认 给 客户 端 。 
Telnet 用 户 成 功 登 录 后 ,服务 器 端 发 送 数 据 给 客户 端 ,如 图 7-30 所 示 ,服务 器 发 送 的 数 


据 ,Telnet 协议 定义 回 车 换行 (CR-LF) 序 列 来 代表 行 


结束 ,图 7-30 中 用 \r\n 表示 ,客户 端 收 


到 数据 后 发 送 TCP 确认 如 图 7-31 所 示 ,接着 服务 器 端 继续 发 送 数据 ,如 图 7-32 所 示 。 


.809740 
10.214.6.11 


Telnet Data .. 
3148 > telnet [ACK] seq=t 
Telnet Data . 


rame 76 G26 bytes on wire, 126 bytes captured) 
ethernet II, src: 

Ginvernet Protocol, sre Adde: 10.4 6-11 (10.214.612) 
E Transmission Control Protocol, src Port: telnet (23), 

Source port: telnet (23) 

Destination port: 3148 (3148) 

Sequence number: 132 (relative sequence number) 
[Next sequence number 
Acknowledgement number: 69 
Header length: 20 bytes 

BFlags: OxO018 (PSH, ACK) 
window size: 5840 
um: Oxlafb (correct) 


(relative ack number) 


Last login: Fri Jun 29 08:00:53 from 10. 61.202. 5\r\n 


You have new mail. Vr 


(relative sequence number)] 


Dst Addr: 10.61.16.11 (10.61.16.11) 
Dst Port: 3148 (3148), Seq: 132, ack: 69, Li 


[ence rr ver 


x SESH 
/| Ms expression | Crear] Appiy| 


TENNIS 


pax Ej 


TELNET Telnet Data - 


TELNET Telnet Data . 


m Frame 77 (54 bytes on wire, 54 bytes captured) 


BHiEthernet II, Src: 00:0b:db:c2:83:c0, Ost: 00:0f:f7:67:98:3f 
E Internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), 


Dst Addr: 10.214.6.11 (10.214.6.11) 


B Transmission Control Protocol, src Port: 3148 (3148), Dst Port: telnet (23), Seq: 69, Ack: 204, Li 


Source port: 3148 (3148) 
Destination port: telnet (23) 
quence number: 69 — (relative seq 


Header lengt 
BFlags: Ox0010 (ACK) 
window size: 65332 
Checksum: Oxe78f (correct) 
B [sEQ/ack analysis] 


O0 00 db c2 83 
0010 00 28 82 ef 40 00 80 06 4c b8 Qa 3 
0020 06 Ob Oc 4c 00 17 2f 31 5b 9f 
oo3o ff 34 e7 sf 00 00 


Fle ER Mes Go Cape Mayre Saites Hep 
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| es 


图 lx [ela] e «| [e [s [a] else rimis x S 


ICT SEE 


ne 


.621832 
. 809740 


10.61.16.11 
10.214.6.11 


Telnet Data ... 
3148 > velnet [ck] seat 


Frame 78 
B ethernet 
B Internet 


II, sre: 00: 


Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 204 
[Next sequence number 
Acknowledgement number: 69 
Header length: 20 bytes 

BFlags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Oxa87d (correct) 


(7 bytes on wire, 77 bytes captured) 

67:98:3f, Ost: 00:0b:db:c2:83:c0 
Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10. 61.16.11) 
B transmission control Protocol, src Port: telnet (23), Dst Port: 


3148 (3148), seq: 204, Ack: 69, L| 


(relative sequence number) 
(relative sequence number)] 
(relative ack number) 


Data: [roOtGIEM-LINUX root]é 


= #4 


Soio Q0 SF 35 06 40 00 3b 06 
10020 10 Ob 00 17 Oc Qa be 
0030 16 do a8 7d 00 


oF 


Ba 0a dé 06 Ob 0a 3d 
£5 2f 31 5b of 5018 


一 
195 


在 键盘 上 输入 Is 
发 送 数据 *1"。 


ew 


e 


命令 ,来 看 看 客户 端 


图 7-32 


和 服务 器 直接 发 送 的 数据 ,如 图 7-33 所 示 ,客户 端 


Ee 


/| not Expression | ior we 


rocol [iro 


78 15.830503 
.018177 
.028506 
.145720 


10.61.16.11 
Spanning-tree-(for-br STP 
10.214.6.11 
CoP/vTP 


TELNET Telnet Data ... 

Conf. Root = 32784/00:0F 
3148 > telnet [Ack] Seq-t 
Dynamic Trunking Protoco 
Conf. Root = 32784/00:0F 


TCP 
oTP 
tree-(for-br STP 
TELNET 


Frame 83 (55 bytes on wire, 55 bytes captured) 


@ethernet I, src: 1€2:83:c0, DST: 

B Internet Protocol, src addr: 10.61. 

B Transmission control Protocol, sre Port: 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 69 
[Next sequence number: 70 
Acknowledgement number: 227 
Header length: 20 bytes 

BiFlags: Ox0018 (PSH, ACK) 

window size: 65309 
Checksum: 0x7b86 (correct) 


a 


00: 0f :f7:67:98:3f 


6.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
3148 (3148), Dst Port: 


telnet (23), seq: 69, Ack: 227, L 


frelative sequence number) 
(relative sequence number)] 
(relative ack number) 


O0 oF f7 67 98 3f 00 0b di 
00 29 82 f1 40 00 80 
06 Ob Oc 4c 00 17 2f 
ff id 7b 86 00 00 B8 


31 


如 图 
如 图 


7-34 所 示 ,服务 器 端 回 显 1”。 
7-35 所 示 ,客户 端 发 送 数据 * 


<2 83 cO 08 00 45 00 
06 4c b5 Oa 3d 10 Ob Qa dé 
5b 9f Oa be fc Oc 50 18 


| 85 


Telnet pii | 


86 | 
Vil CP/IP 协议 深入 分 析 


a SxS) Sl ESTE ES ee) FOES) 
一 -一 


Fie 区 3 pm rz 
83 18.443231 — 10.61-16.11 10.214.6.11 Telnet 
84 18.444457 - A 
85 18.528730 10.61.16.11 10.214.6.11 TELNET Telnet Data ... 
86 18.530062 10.214.6.11 10.61.16.11 TELNET Telnet Data ... 
87 18.653720 10.61.16.11 10.214.6.11 TcP 3148 > telnet [Ack] Seq: 
88 18.700366 10.61.16.11 10.214.6.11 TELNET Telnet Data ... 7 
RI 
Frame 84 (60 bytes on wire, 60 bytes captured) 
Bigthernet II, Src: 00:0f:f7:67:98:3f, Dst: 00:0b:db:c2:83:c0 
HiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
Transmission Control Protocol, Src Port: telnet (23), Dst Port: 3148 (3148), Seq: 227, Ack: 70, Li 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 227 ^ (relative sequence number) 
[Next sequence number: 228 ^ (relative sequence number)] 
Acknowledgement number: 70 ^ (relative ack number) 
Header length: 20 bytes 
Flags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: 0x63d3 (correct) 
@ [SEQ/ACk analysis] 


Data: 1 


[D000 00 Ob db c2 83 cO 00 Of f7 67 98 3f 08 0045 O0  .....- 
0010 00 29 35 07 40 00 3b 06 df 9f Oa d6 06 Ob Oa 3d 25.0. 
0020 10 Ob 00 17 Oc 4c Oa be fc Oc 2f 31 5b a0 5018  .. 
0030 16 do 63 ds 00 00 B$ 00 00 00 00 00 


Ei Mee Go Capre alme Staios Hep 


Se] > [es] ejje ess Sj 
gi —— A 


/| wa Expressin | lar] vo 


83 18.443231 
18.444457 
E 1 16.11 
86 18.530062 — 10.214.6.11 10.61.16.11 TELNET Telnet Data ... 
87 18.653720 10.61.16.11 10.214.6.11 TCP 3148 > telnet [Ack] Seq= 
88 18.700366 10.61.16.11 10.214.6.11 TELNET Telnet Data ... | 


Frame 85 (55 bytes on wire, 55 bytes captured) 
BiEthernet II, src: 00: <2:83:c0, Ost: 00:0f:f7:67:98:3f 
BiInternet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Ost Addr: 10.214.6.11 (10.214.6.11) 
Transmission control Protocol, Src Port: 3148 (3148), Dst Port: telnet (23), Seq: 70, Ack: 228, Li 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number: 70 — (relative sequence number) 
[Next sequence number: 71 ^ (relative sequence number)] 
Acknowledgement number: 228 ^ (relative ack number) 
Header length: 20 bytes 
Flags: Ox0018 (PSH, ACK) 
window size: 65308 
Checksum: 0x7485 (correct) 
8 [sEQ/AcK analysis] 
B Telnet 
Data: s 


[0000 00 7 67 98 3f 00 Ob <2 83 cO 08 00 4$ 00 
oolo 00 29 82 f2 40 00 80 06 4c b4 Oa 3d 10 Ob Oa dé 
020 06 Ob Oc 4c 00 17 2f 31 5b a0 Oa be fc Od 50 18 
oo30 ff ic 74 85 00 00 73 


如 图 7-36 所 示 ,服务 器 端 回 显 “s”。 

如 图 7-37 BRAS ,客户 端 发 送 TCP 确认 。 

如 图 7-38 所 示 ,在 键盘 上 输入 回 车 时 .客户 端 就 会 发 送 数据 “\r”。 
如 图 7-39 所 示 ,服务 器 端 回 显 换行 命令 。 
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443231 61.16. 214.6. 
444457 214.6. 10.61.16.11 
528730 10.214.6.11 


B6 18 10.61.16.11 D s 
87 18.653720 10.61.16.11 10.214.6.11 TCP telnet [ACK] Seq=: 
88 18.700366 10.61.16.11 10.214.6.11 TELNET Data ... " 


Frame 86 (60 bytes on wire, 60 bytes captured) 
Bigthernet II, src: 00:0f:f7:67:98:3f, Ost: 00:0b:db:c2:83:cO 
HiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
B Transmission control Protocol, Sre Port: telnet (23), Dst Port: 3148 (3148), Seq: 228, Ack: 71, Li 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 228 (relative sequence number) 
[Next sequence number: 229 ^ (relative sequence number)] 
Acknowledgement number: 71 ^ (relative ack number) 
Header length: 20 bytes 
Flags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: OxScdl (correct) 
B [SEQ/ACK analysis] 
a Telnet 
Data: s 


[oo00 00 Ob db c2 83 cO 00 OF 98 3f 08 00 45 00... 
0010 00 29 35 08 40 00 3b 06 Qa dé 06 Ob Qa 3d .35 
0020 10 Ob 00 17 Oc 4c Oa be 2f 31 5b al 50 18 

0030 16 do Sc di 00 00 [£j 00 90 00 


图 7-36 


Fe El Mew Go Cp 


AGE ETE BE ajajaj ee[mi[gs| 2«] tea] 
/| Ms Expression | com] appiy| 


Destination 区 
83 18.443231 . 61.16. 10.214.6.11 TELNET 
B4 18.444457 . 214.6. 10.61.16.11 TELNET 
85 18.528730 . 61.16. 10.214.6.11 TELNET 
86 18.530062 .6. 10.61.16.11 TELNET 


88 18.700366 10.61.16.11 10.214.6.11 TELNET 


Birrame 87 (54 bytes on wire, 54 bytes captured) 
国 Etherner I1, src: 00: 1c2:83:c0, Dst: 00:0f:f7:67:98:3f 
E Internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Ost Addr: 10.214.6.11 (10.214.6.11) 
B Transmission control Protocol, Sre Port: 3148 (3148), Dst Port: telnet (23), Seq: 71, Ack: 229, L| 
Source port: 3148 (3148) 
Destination port: telnet (23) 
Sequence number (relative sequence number) 


BFlags: Ox0010 (ACK) 
window size: 65307 
Checksum: Oxe78d (correct) 

m [SEQ/ACK analysis] 


—— 9541 


[0000 00 7 67 98 3f 00 0b db c2 83 cO 08 00 4$ 00 ~ 
Dolo 00 28 82 fs 40 00 89 06 4c b4 Da 3d 10 0b 0a dé ‘Co. L 

|o020 06 Ob Oc 4c 00 17 2f 31 5b al MEME 50 10 — ...L../1 [ABE 
ooso ff lb e7 sd 00 00 pests: 


Eee mw | 


| 87 


Telnet pii | 


88 | 
Vil CP/IP 协议 深入 分 析 


18.453231 10.61.16.11 - 214.6. 
18.444457  10.214.6.11 10.61.16.11 
18.528730 10.61.16.11 10.214.6.11 
18. 530062 10.61.16.11 


< 


BFrame 88 (55 bytes on wire, 55 bytes captured) 
Bethernet I1, src: 00: 2¢2:83:¢0, Ost: 00:0f:f7:67:98:3f 
Internet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
Transmission control Protocol, Sre Port: 3148 (3148), Dst Port: telnet (23), Seq: 71, Ack: 229, Li 

Source port: 3148 (3148) 

Destination port: telnet (23) 

Sequence number: 71 — (relative sequence number) 

[Next sequence number: 72 (relative sequence number)] 

Acknowledgement number: 229 ^ (relative ack number) 

Header length: 20 bytes 

BFlags: OxO018 (PSH, ACK) 

window size: 65307 

Checksum: Oxda84 (correct) 
Dag —À 


Data: \r 


2 — — — — —————————————— 人 | 


fo000 00 of f7 67 98 3f 00 Ob db c2 83 cO 08 00 45 00 
0010 00 29 82 f4 40 00 80 06 4c b2 Oa 3d 10 Ob Qa dé 
0020 06 Ob Oc 4c 00 17 2f 31 Sb al Oa be fc Oe 50 18 
0030 ff 1b da 84 00 00 BE 


= 一 一 一 一 


x ||) SIe[- je[s]z ajajaj 吧 四 转交 tea] 


| wa Expression | iow pv 


Sousa Destination mee [into 
85 18.528730 10.61.16.11 10.214.6.11 TELNET Data ... 
86 18.530062 — 10.214.6.11 10.61.16.11 TELNET Data ... 
87 18.653720 10.61.16.11 10.214.6.11 TCP telnet [ack] seg-: 
88 18.700366 10.61.16.11 10.214.6.11 TELNET Data... 


90 18.872482 10.61.16.11 10.214.6.11 CP telnet [ACK] Seq=i|/ 


Frame 89 (60 bytes on wire, 60 bytes captured) 
@ethernet II, src: 0i 167:98:3f, DSt: 00:0b:db:c2:83:c0 
Binternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Ost Addr: 10.61.16.11 (10.61.16.11) 
E Transmission Control Protocol, Src Port: telnet (23), Ost Port: 3148 (3148), seq: 229, Ack: 72, Li 
Source port: telnet (23) 
Destination port: 3148 (3148) 
Sequence number: 229 ^ (relative sequence number) 
[Next sequence number: 231 ^ (relative sequence number)] 
Acknowledgement number: 72 ^ (relative ack number) 
Header length: 20 bytes 
Flags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Oxc2c4 (correct) 
8 [SEQ/Ack analysis] 


[6000 00 Ob db c2 83 cO 00 7 67 98 3f 08 00 45 00 
oolo oo 2a 35 09 40 00 3b 06 df 9c Oa d6 06 Ob Qa 3d 
0020 10 Ob 00 17 Oc 4c Oa be fc Oe 2f 31 5b a2 5018 
0030 16 do c2 c4 00 00 SENSE 00 00 00 00 


第 7 章 


在 Telnet 中 “\r\n” 是 换行 命令 
如 图 7-40 所 示 ,客户 端 对 收 到 的 报 文 进行 确 


| 89 
Telnet t 议 | 


如 图 


telnet [ack] 
91 18.873430 — 10.214.6. 10.61.11 TELNET Telnet Data ... 
92 10.091255 10.61.16.11 10.214.6.11 Tp 3148 > telnet [Ack] segs: 
93 20.020983 Cisco_e6:ce: Spanning-tree-(for-br STP Conf. Root = 32784/00:0f 
94 20.089725 10.61.16.11 10.214.6.11 TELNET Telnet Data ... 
95 20.090465 — 10.214.6.11 10.61.16.11 TELNET Telnet Data ... / 


RI D———— 


画 Frame 90 (54 bytes on wire, 54 bytes captured) 

@ethernet II, src: 00:0b:db:c2:83:c0, DSt: 00:0f:f7:67:98:3f 

BHiInternet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 

ElTransmission Control Protocol, Src Port: 3148 (3148), Ost Port: telnet (23), Seq: 72, Ack: 
Source port: 3148 (3148) 


Destination port: telnet (23) 
Sequence Nunbe (relative sequence number) 


Header length: 20 bytes 
BFlags: OxO010 (ACK) 

window size: 65305 

Checksum: Oxe78c (correct) 
[seq/ack analysis] 


SET 
0000 00 OF f7 67 98 3f 00 0b db c2 83 cO 08 00 43 00 FX 

o010 00 28 82 f5 40 00 80 06 4c b2 Oa 3d 10 Ob Qa dé :Ce L. 

0020 06 Ob Oc 4c 00 17 2f 31 5b a2 50 10 ..:L../i Lm 

0030 ff 19 e7 8c 00 00 eie 


[preter rtr Grp ae ter — — — — — — rrr — — — — — — — | 


图 7-40 


7-41 所 示 ,服务 器 端 发 给 客户 端 "1s ”命令 执行 的 名 


DHE ee wD EX! 
/| mad Expression | Ciear| appiy| 


18.872482 10. 61.16.11 10.214.6.11 
E 30 10.214. 6.11 10.61.16.11 TELNET 
92 19.091255 10.61.16.11 10.214.6.11 TCP 3148 > telnet [ACK] Seq=: 
93 20.020983 — Cisco e6:ce:ce Spanning-tree-(for-br STP Conf. Root - 32784/00:0f 
94 20.089725 10.61.16.11 10.214.6.11 TELNET Telnet Data . 
95 20.090465 — 10.214.6.11 10.61.16.11 TELNET Telnet Data . 
E ————————— ——CÓÁ' — —nÁ " 
Frame 91 (186 bytes on wire, 186 bytes captured) 
Higthernet II, src: 00:0f:f7:67:98:3f, Dst: 00:0b:db:c2:83:c0 
BHiInternet Protocol, src Addr: 10.214.6.11 (10.214.6.11), Dst Addr: 10.61.16.11 (10.61.16.11) 
日 Transm1ssion Control Protocol, Src Port: telnet (23), Dst Port: 3148 (3148), seq: 231, Ack: 72, Li 

Source port: telnet (23) 

Destination port: 3148 (3148) 

Sequence number: 231 ^ (relative sequence number) 

[Next sequence number: 363 (relative sequence number)] 

Acknowledgement number: 72 ^ (relative ack number) 

Header length: 20 bytes 

BFlags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Ox3c2b (correct) 


3148 > telnet [ack] Seq- 
elnet Data... 


Data: \033[00m\033[01; 34minstal1\033[00m \033[00minstall. 10g\033[00m \033 [OOminstall. log. sys] 
Data: \033 [m[rootGIBM-LINUX root]# 
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DEERE] 
| Clear] Apply | 


inte 
18.872482 10.214.6.11 3148 > telnet [ACK] Seq= 
18.873430 10.61.16.11 Telnet Data ... 
B > telnet [ACK 
20.020983 Conf. Root = 32784/00:0f 
20.089725 -16. TELNET Telnet Data ... 
95 20.090465 6 TELNET Telnet Data 4 


———————— 


Frame 92 (54 bytes on wire, 54 bytes captured) 
Bethernet II, src: 00:0b:db:c2:83:c0, Ost: 00:0f:f7:67:98:3f 
Ginternet Protocol, src Addr: 10.61.16.11 (10.61.16.11), Dst Addr: 10.214.6.11 (10.214.6.11) 
Transmission Control Protocol, Src Port: 3148 (3148), Dst Port: telnet (23), seq: 72, Ack: 363, L| 
Source port: 3148 (3148) 
Destination port: telnet (23) 
sequence number (relative sequence number) 
Header length: 20 bytes 
GFlags: Ox0010 (Ack) 
window size: 65173 
Checksum: Oxe78c (correct) 
m [seq/ack analysis] 


m 


000 00 OF F7 67 98 3T 00 05 db c2 83 co 08 QU 4$ 00 gT 

0010 00 28 82 fé 40 00 80 06 4c bl Oa 3d 10 0b 0a dê —.(..... L. 
o020 06 Ob Oc 4c 00 17 2f 31 5b a2 50 10 CA UEM 
0030 fe 95 e7 Bc 00 00 : 


ECEE 


CHAPTERS 


FTP 和 TFTP 协议 第 8 章 


8.1 FTP 协议 


FTP(File Transfer Protocol, 文 件 传输 协议 ) 是 在 TCP/IP 环境 中 用 来 
从 一 台 主 机 向 另 一 台 主 机 传输 文件 的 一 个 协议 ,比如 从 远程 FTP 服务 器 上 
传送 文件 到 本 地 客户 机 或 从 本 地 客户 机 传送 文件 到 远程 FTP 服务 器 。FTP 
在 OSI 协议 模型 的 应 用 层 实 现 , 它 在 许多 计算 机 系统 上 采用 ,是 系统 间 文 件 
传输 的 公共 协议 。 

FTP 采用 和 HTTP 一 样 的 客户 机 /服务 器 方式 ,FTP 客户 端 要 在 本 地 安 
装 FTP 客户 程序 。 和 Telnet 一 样 ,FTP 需要 提供 一 种 登录 机 制 , 即 需要 输 
入 用 户 名 和 口令 ,才能 进入 远程 FTP 服务 器 ,与 其 他 客户 -服务 器 模型 不 同 的 
是 ,FTP 客户 与 服务 器 之 间 用 TCP 建立 了 双重 连接 ,一 个 是 控制 连接 、 一 个 
是 数据 连接 。 建 立 双 重 连接 的 原因 在 于 FTP 是 一 个 交互 会 话 系统 ,客户 端 
每 次 调用 FTP, 便 与 服务 器 建立 一 个 会 话 , 会 话 以 控制 连接 来 维持 ,控制 连接 
负责 传输 控制 信息 ,例如 用 户 名 和 口令 、 改 变 远 程 目录 的 命令 、 取 文件 或 放 回 
文件 的 命令 ,直至 退出 FTP。 当 客户 端 每 次 请 求 传送 文件 时 ,服务 器 就 与 客 
户 建立 一 个 数据 连接 ,进行 实际 的 数据 传输 。 在 传送 文件 数据 之 前 ,客户 端 
要 通过 控制 连接 来 定义 文件 类 型 .数据 结构 和 传输 方式 。 一 旦 数据 传输 完 
成 ,数据 连接 会 话 就 被 关闭 ,但 控制 连接 依然 存在 ,客户 端 可 以 继续 发 出 命 
4 ,直到 客户 端 输入 CLOSE 命令 撤销 控制 连接 ,再 输入 QUIT 退出 FTP 会 
话 , 此 时 双方 控制 进程 关闭 。 

FTP 的 控制 连接 使 用 Telnet 协议 相同 的 机 制 ,通过 命令 和 响应 来 完成 ， 
它 使 用 NVT ASCII 码 ,每 条 命令 和 响应 都 是 一 个 短 行 ,每 行 用 回 车 符 和 换行 
符 作为 结束 符 。FTP 控制 命令 有 User Name(User)、Password(Pass)、Account 
(Acct), Change Working Directory (Cwd), Change To Parent Directory 


(Cdup) , Structure Mount(Smnt) , Reinitialize( Rein) , Logout (Quit) 。 
FTP 的 传输 参数 命令 有 Data Port ( Port) , Passive ( Pasv) , Representation 
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Type( Type) File Structure(Stru) , Transfer Mode( Mode) 。 


和 HTTP 不 同 的 是 ,FTP 在 整个 会 话 期 间 , 服 务 器 必须 把 控制 连接 与 特定 的 用 户 关 联 
起 来 ,随时 跟踪 用 户 的 状态 ,跟踪 每 个 活跃 的 用 户 会 话 极 大 地 限制 了 FTP 能够 同时 维护 的 
会 话 数 。 无 状态 的 HTTP 却 不 必 维 护 任何 用 户 状态 信息 。 

通过 下 面 的 FTP 实例 来 进一步 了 解 FTP 协议 。 

前 面 讲 过 FTP 采用 两 个 TCP 连接 来 传输 一 个 文件 : 

COD. 客户 端 主动 连接 服务 器 ,服务 器 以 被 动 方式 打开 21 端口 ,以 建立 控制 连接 。 

(2) 文件 在 客户 端 与 服务 器 之 间 传 输 时 ,服务 器 主动 打开 端口 20 ,建立 一 个 数据 连接 。 

接 下 来 看 看 图 8-1,FTP 客户 端 端口 1364 主动 连接 服务 器 21 端口 ,在 图 中 可 以 看 到 经 
it TCP 的 三 次 握手 后 (3、4、5 行 ), 建 立 了 控制 连接 ,它们 用 1364 和 21 端口 来 发 送 控制 
信息 。 


Fie Edi View Go Cape Ansy Statistics Heb 


Sales S ETEAESIERES aala TA m 


Ma. [me — T 
4 0.001653 frp > 1364 (avn, Ack], Seqpo Ack-t win-17640 Lene WMS5"1260 
5 0.001689 1364 > ftp (ack) seqni actor winea7640 
6 0.002963 Response: 220 serv-0 FTP Server v4.0 for Winsock ready 
7 9-153724 1364 > ftp [acK] Seg«l Ack=50 wineL7591 Len-0 
8 7.177245 Request: USER administrator 
9 7.178236 Response: 331 User name okay, need password. " 


B Ethernet II, Src: 00:60:08:82:02:19, DSt: 00:0b:46:99:6a:80 
m Internet Protocol, src addr: 192.168.3.2 (102.158.3.2), Dst addr: 192.168.2.2 (192.168.2.2) 


Source port: 1364 (1364) 
Destination port: ftp (2: 
Sequence number: O (relative sequence number) 
Header Jength: 28 bytes 
Flags: N) 
aa Congestion Window Reduced (cw): Not set 
Ecm Echo: Not 
Urgent: Not set 
Acknowledgment: Not set 


QxlBda (correct) 
Boptions: (8 bytes) 
Maximum segment size: 1460 bytes 


[0000 00 0b 46 33 Ga 80 00 60 08 82 GI 19 08 00 45 00  -.F- 
poro o0 3 ci a8 l 


0030 a 


ax" 
h Hia 
FE 


Tansmisson Corirl Protocol (ep) 28 tes [F101 D: 01:0. 


图 81 


服务 器 返回 客户 端 response code 220, 如 图 8-2 所 示 , 表 明 服 务 就 绪 , 服 务 器 准备 接受 
新 用 户 。 根据 NVT 标准 ,要 在 行 结束 处 使 用 二 CRLF 二 序列 ,图 中 可 以 看 到 用 \r\n 来 
表示 。 

客户 端 发 送 一 个 对 报 文 段 6 的 TCP 确认 消息 ,如 图 8-3 所 示 。 

随后 ,客户 端 发 送 一 个 用 户 名 USER 命令 ,后 面 的 Request arg 为 administrator, 也 就 
是 用 户 为 administrator, 如 图 8-4 所 示 。 

服务 器 应 答 应答 号 331 表示 用 户 名 被 接受 ,要 求 输入 口令 :如 图 8-5 所 示 。 

客户 端 发 送 一 个 对 报 文 段 9 的 TCP 确认 消息 ,如 图 8-6 所 示 。 

然后 ,客户 端 输入 密码 .如 图 8-7 所 示 ,客户 端 发 送 PASS 命令 ,后 面 的 Request arg 为 
China, 也 就 是 登录 密码 为 China, 
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gia) BEX en] 


Fite attin. | el ten] 
ha. [Tee [ema — [v 
0.000608 TCP 1364 > ftp [SYN] Seq-0 Ack-0 win-16384 Len-0 MSS-1460 
0. 001853 Tep fep > 1364 [EYN, ACK] Seqeo Ackel Win-l7640 Len-ü MSS«1260 
TCP 1364 > ftp [ack] Segel Ack=1 win=17640 Len=0 


192.168. 3. 
192.168.3 
192.16 


FTP Request: USER administrator 
FTP Response: 331 User name okay 


Frame 6 (103 bytes on wire, 
Bethernet I1, src: 00:0b:4 
| Internet Protocol, src addr: 192.168.2.2 (192.168.2.2), Ost Addr: 192.168.3.2 (192.168.3.2) 
E Transmission control Protocol, src Port: ftp (21), Ost Port: 1364 (1364), Seq: 1, Ack: 1, Len: 49 

Source port: ftp (21) 

Destination port: 1364 (1364) 

Sequence number: 1 (relative sequence number) 

[Next sequence number: $0 (relative sequence number)] 

Acknowledgement number: 1 (relative ack number) 

Header length: 20 bytes 

Flags: 0x0018 (PSH, ACK) 
sees = Congestion window Reduced (Cw 
ECN-Echo: Not set 

Urgent: Not set 
Acknowledgment: set 
Push: set 
Reset: Not set 

Not set 
Not set 


: Not set 


Checksum: Ox9e7a (correct) 


E220 Serv-U FTP server v4.0 for winsock ready... Vn 
Response code: service ready for new user (220) 
Response arg: Serv-U FTP Server v4.0 for winsock ready... 


[Fie Transfer Protocol FTP) tp) 43 bytes TF. 101 0: 101 M. 0 
图 8-2 
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e ex[a[x (|S) si e[e] se[s[a] ejeja PESE Sl 


No. [rime Sauce Desinaton 
3 0.000608 — 192.168.3.2 192.168.2.2 ud 1364 > ftp [SYN] Seq-0 Ack-0 win-16384 Len-0 MSS-1460 
4 0.001653 — 192.168.2.2 192.168.3.2 Tce ftp > 1364 [SYN, ACK] SeqeO Ackel winel7640 Len=0 MSS=1260 
5 0.001689 — 192.168.3.2 192.168.2.2 Tee 1364 > ftp [Ack] Segal Ack«l win«17640 Len=0 
6 0.002963 192.168.2.2 192.168.3.2 FTP Response: 220 Serv-U FTP server v4.0 for winsock ready. 
8 7.177245 — 192.168.3.2 192.168.2.2 FTP Request: USER administrator 
9 7.178236 — 192.168.2.2 192.168.3.2 FTP Response: 331 User name okay, need password. " 


Frame 7 (54 bytes on wire, 54 bytes captured) 
JB Ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:0b:46: 
B Internet Protocol, src addr: 192 

Transm t Port: 13 
Source port: 1364 (1364) 


99:63:80 
Dst ddr: 192.168.2.2 (192.168.2.2) 


Destination port: ftp (21) 
Sequence number: 1 (relative sequence number) 
Acknowledgement number: 50 (relative ack number) 


Header length: 20 bytes 
EFlags: 0x0010 CACK) 
= Congestion window Reduced (CWR): Not set 
7 ECW-Echo: Not set 
= Urgent: Not set 
= acknowledgment: set 
I push: Not set 
> Syn: Not set 
11.0 = Fin: Not set 
window size: 17591 
Checksum: Ox9c7e Ccorrect) 
E [SEQ/ACK analysis] 
[This is an ACK to the segment in frame: 6] 
[the RTT to ACK the segment was: 0.150761000 seconds] 


[0000 00 üb 46 33 6a 80 00 60 08 Sz d2 19 08 00 45 00 
looro 00 28 50 bz 40 00 80 06 23 c9 cO a8 03 02 c0 a8 
joo20 35 Ib el 57 

0050 


[Transmission Corira Protocol icp] 20 bytes EDEL 
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回回 


0.001689 — 192.168.3.2 192.168.2.2 1364 > ftp [Ack] seqel Ack=1 win=17640 Len=0 
0.002963 192.168.2. 192.168.3.2 Response: 220 Serv-U FTP Server v4.0 for winsock ready. 
0.153724 192.168.3.2 192.168.2.2 1364 > ftp [ack] Seqel Ack=50 win=17591 Len=0 


7.178236 — 192.168.2. 192.168. 3. 331 user name okay, need password. 
7.376745 — 192.168.3 192.168.2.2 1364 > ftp [ACK] seq=21 Ack=B6 win=17555 Len=0 
8.772677 — 192.168.3.2 192.168.2.2 Request: Pass china 


Frame 8 (74 bytes on wire, 74 bytes captured) 
|= Ethernet rr, Src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:6a:80 
|E Internet Protocol, src addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
|E Transmission control Protocol, src Port: 1364 (1364), Dst Port: ftp (21), Seq: 1, Ack: 50, Len: 20 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 1 (relative sequence number) 
[Next sequence number: 21 (relative sequence number)] 
Acknowledgement number: 50 (relative ack number) 
Header length: 20 bytes 
Ox0018 (PSH, ACK) 
~ Congestion window Reduced (CWR): Not set 
= ECN-Echo: Not set 
| = Urgent: Not set 
= Acknowledgment: set 
= Push: set 
= Reset: Not set 
= Syn: Not set 
= Fin: Not set 
1759L 
Checksum: 0x57a9 (correct) 
IBF ile Transfer Protocol (FTP) 
Buser admintstrator\r\n 
Request command: USER 
Request arg: administrator 


82 d 19 08 00 45 00 
ba cO a8 03 02 c0 a8 

1b el 97 c2 c0 $018 ... 2 
52 20 61 64 6d 69 6e  D.W...US ER admin 


a istrator .. " 


P301073101 8 


图 84 
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192.168.2.2 c 1364 > ftp [ACK] seq«l Ack#1 win«17640 Len=0 

192.168.3.2 Response: 220 Serv-U FTP Server v4.0 for winsock ready... 
192.168.2.2 1364 > ftp [ACK] Segel Ack=50 win«l7591 Len=0 
192.168.2.2 Request: USER administrator 


10 7.376745  192.108.3. -168.2 z 1364 > ftp [ACK] Seqe2l Ack=86 7555 Len=0 
11 8.772677 — 192.168.3.2 -168.2 Request: PASS china 


B Internet Protocol, src Addr: 192.168.2.2 (192.168.2.2), Ost addr: 192.168.3.2 (192.168.3.2) 
[B Transmission contro] Protocol, src Port: ftp (21), Dst Port: 1364 (1364), Seq: 50, Ack: 2l, Len: 36 
Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: 50 (relative sequence number) 
[Next sequence number: 86 — (relative sequence number)] 
Acknowledgement number; 21 (relative ack number) 
Meader length: 20 bytes 
E Flags: 0x0018 (PSH, ACK) 
0... e+e. = Congestion window Reduced (Cw): Not set 
1 = ECN-Echo: Not set 
- Urgent: Not set 
i - acknowledgment: set 
= Push: set 
T Reset: Not set 


window size: 17620 
Checksum: Oxefi7 (correct) 
E [s&q/Ack analysis] 
[This is an ACK to the segment in frame: 8] 
[The RTT to ack the segment was: 0.000991000 seconds] 
日 Fie Transfer Protocol (FTP) 
E331 User name okay, need password. \r\n 
Response code: User name okay, need password (331) 
Response arg: user name okay, need password. 


EE 15 99 Ga 80 08 00 45 00 
4c 19 Sb 92 CO a8 02 02 c a8 
02 09 E2 có 05 6d 99 2f 50 18 
dà ef 31 20 55 73 65 72 20 be 
6d 65 8 2c 20 &e 65 65 64 20 70 


mow 
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0.001689 — 192.168.3.2 192.168.2.2 1364 > ftp [ac] seqel Ack=1 win=17640 Len=0 
0.002963 192.168.2. 192.168.3.2 Response: 220 Serv-U FTP Server v4.0 for winsock ready. 
0.153724 192.168.3.2 192.168.2.2 1364 > ftp [Ack] Segel Ack=50 win=17591 Len=0 

7.177245 192.168.3.2 192.168.2.2 Request: USER administrator 

7.178236 ^ 192.168.2 192.168.3. 331 User name okay, need password. 


8.772677 — 192.168.3.2 192.168.2.2 Request: PASS china 


[Frame 10 (54 bytes on wire, 54 bytes captured) 
|= Ethernet rr, src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:62:80 
|E Internet Protocol, src Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
[E Transmission control Protocol, src Port: 1364 (1364), Dst Port: ftp (21), Seq: 21, Ack: 86, Len: O 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 21 (relative sequence number) 
Acknowledgement number: 86 — (relative ack number) 
Header length: 20 bytes 
0x0010 CACK) 
Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: set 
Push: Not set 
Reset: Not set 
Syn: Not set 
I Fini Not set 
sss 
Checksum: Ox9c6a (correct) 
B [SEQ/ACK analysis] 
[This 4s an ACK to the segment in frame: 9] 
[The RTT to ACK the segment was: 0.198509000 seconds] 


16 95 61 80 00 60 08 82 d2 19 08 00 45 00 
50 b4 40 00 80 06 23 c7 cO a8 03 02 cO a8 
05 54 00 15 05 6d 99 2f el 97 c2 e4 50 10 
9c 6a 00 00 
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——— 


12 8.774297 — 192.168.2.2 192.168. 
13 8,881564 — 192.168.3.2 192.168. 


EE Response: 230 user logged in, proceed. 
14 10.917973 — 192.168.3.2 192.168.2. 

H 

3 


2 
H 1364 > ftp [ACK] seq-33 Ack=116 win-17525 Len 
2 Request: PORT 192,168,3,2,5,85 
15 10.918681 192.168.2.2 192.168.3.2 
16 10.924012 — 192.168.3.2 192.168.2.2 
17 10.036618. 192.168.2.5. 197-168. > 


Response: 200 PORT Command successful. 
Request: LIST 
frn-dara > 1365 [SYN] seneo arkeü winel&iR4 iensn Msssl260 KA| 


Frame 11 (86 bytes on wire, 66 bytes captured) 
| Ethernet ir, src: 00:60:08:82:d2:19, pst: 00:0b:46:99:6a:80 
internet protocol, src addr: 192.168.3.2 (192.168.3.2), Dst addr: 192.168.2.2 (192.168.2.2) 
JS transmission contro! Protocol, src Port: 1364 (1364), Ost Port: ftp (21), Seq: 21, Ack: 86, Len: 12 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 21 (relative sequence number) 
(Next sequence number: 33. (relative sequence number)] 
Acknowledgement number: 86 — (relative ack number) 
Meader length: 20 bytes 
EFlags: Ox0018 (PSH, ACK) 
- = Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: set 
Push: sat 
Reset: Not set 
Syn: Not set 


Checksum: Oxf489 (correct) 
日 Fi1e Transfer Protocol (FTP) 
E pass china\r\n 
Request command: PASS 
Request arg: china 


Ub 46 39 6a 80 00 60 03 82 d2 19 
34 50 b5 40 00 80 06 23 ba cO a8 
02 05 54 00 15 05 6d 99 2f el 97 
93 f4 89 00 00 50 4l 53 53 20 63 


JEU 
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服务 器 端 产 生 一 个 应 答 ,应 答 号 230 表示 用 户 成 功 登 录 , 如 图 8-8 所 示 。 


File Edt View Go Caphwe Anayze Statistics Help 
e| ea x ea) 4/9] 9/F/2] Qala ESTE ES] 
Faer [ast pein [cela] 


No. [Tine [Besinstion oca [iro in 
IU 77376715 TI 108-7- T TXCKI-SETeZI-ACKZEU-WITTI7T77 LET Li 
11 8.772677 192.168.2.2 FTP Request: Pass china 
13 8.881564 192.168. 192.168.2.2 TCP 1364 > ftp [ACK] Seq-33 Ack-116 win-17525 Len 
14 10.917973 192.168. 192.168.2.2 FTP Request: FORT 192,168,3,2,5,85 
15 10.918681 192.168.3.2 FTP Response: 200 PORT command successful. 
16 10.924012 192.168.2.2 FTP Request: LIST 
17 10.936619 192.168.3.2 Ice frn-dara > 1365 [SYN] sens0 Ack=0 winel6384 Len=0 Mssm1760 Dl 
internet Protocol, src addr: 192.168.2.2 (192.168.2.2), Ost Addr: 192.168.3.2 (192.168.3.2) EI 
E Transmission Control Protocol, src Port: ftp (21), Ost Port: 1364 (1364), Seq: 86, Ack: 33, Len: 30 
‘Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: 86 — (relative sequence number) 
[Next sequence number: 116 (relative sequence number)] 
Acknowledgement number: 33 — (relative ack number) 
Header length: 20 bytes 
EFlags: 0x0018 (PSH, ACK) 
9. Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
Push: Set 
Reset: Not set 
HEN 
window size: 1. 
Checksum: Oxd76e correct) 
& [seg/ack analysis] 
[This is an ACK to the segment in frame: 11] 
[the RTT to ACK the segment was: 0.001620000 seconds] 
Biete Transfer Protocol CFTP) 
61230 User logged ^n, proceed. \r\n 
Response code: User logged in, proceed (230) 
Response arg: user logged in, proceed. 7 
[000 00 60 08 82 d2 19 00 Ob 46 99 6a 80 08 00 45 00 Ri 
ooro 00 46 19 cô 40 00 7f 06 Sb 97 cO a8 02 02 cO a8 
020 03 02 00 15 05 54 el 97 c2 el O5 6d 99 3b 50 18 1.11.7.. 11m iP, 
0030 44 c8 d7 6e 00 00 32 33 30 20 55 73 65 72 20 6c  0..n..23 O User 1 al 
looso 6f 67 67 65 64 20 69 Ge 2c 20 70 72 6f 63 65 65  ogged in , procee 2 


Tie FIP 3 KB 0001.35 [AGERE] 


图 8-8 


客户 端 发 送 一 个 对 报 文 段 12 的 TCP 确认 消息 ,如 图 8-9 所 示 。 


FIP - Ethereal 


8.772677 : 192.1682. Request 

8.774297 E 192.168.3. Respons: 
PEAN E: 

10.917973 — 192.168.3. 192.168.2. Request: FORT 192,168,3,2,5,85 

10.918681 192.168.2.2 192:168.3. Response: 200 PORT command successful. 

10.924012 192.168.3.2 192.168.2. Request: LIST 

10.936619 192.168.2.2 192 168.3 frn-dara > 1365 [SYN] Senso Arkeü winel63R4 Leneü Msse1260 
TERT 


Brame 13 《94 bytes on wire, 54 bytes captured) 
BiEthernet I1, src: 00:60:08:82:42:19, Dst: 00:0b:46:99: 
B Internet Protocol, src addr: 192.168.3.2 (192.168. 192.168.2.2 (192.168.2.2) 
日 Transmissfon Control Protocol, src Port: 1364 (1364), Dst Port: ftp (21), Seq: 33, Ack? 116, Len: O 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 33 — (relative sequence number) 
Acknowledgement number: 116 — (relative ack number) 
Meader length: 20 bytes 
日 Flags: Ox0010 (ack) 
: Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
acknowledgment: set 
Push: Not set 
Reset: Not set 
: Not set 


Checksum: Ox9cSe (correct) 
E [seQ/ack analysis] 

[This 4s an Ack to the segment in frame: 12] 

[the RTT to ack the segment was: 0.107267000 seconds] 


36 99 6a B0 00 60 08 82 di 19 08 00 45 
$0 b6 40 00 80 06 23 c5 cO a8 03 02 cO 
05 54 00 15 05 éd 99 3b el 97 c3 02 50 
9c 5e 00 00 


pomon — — — — — — — — — ———7] 
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客户 端 发 送 一 个 PORT 命令 ,如 图 8-10 所 示 , 可 以 看 到 这 个 命令 为 PORT 192,168,3， 
2,5,85。 这 个 命令 包含 了 两 个 部 分 ,一 个 部 分 客户 端的 IP 地 址 即 192. 168. 3. 2, 第 二 个 部 
分 即 为 服务 器 用 20 端口 主动 打开 数据 连接 时 客户 端 使 用 的 端口 ,(5,85) 这 两 个 数字 转换 成 
端口 : 5* 2564-85—1365, 

注意 : 这 种 客户 端 发 送 PORT 命令 的 方式 称 主动 方式 。FTP 还 有 一 种 方式 叫 被 动 


Tene 

TSTE7T o = = = = = 

11 8.772677 Request: PASS china 

12 8.774297 Response: 230 User logged in, proceed. 

3361 > fp (Ack) A winel 7525 Leno 
4 192,168, 


eee 

Request: LIST 

frnrara > 1365 [SYN] senso Ack=0 win=163R4 Lpnco_Mss-1260 | 
i, 


Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 33 (relative sequence number) 
[Next sequence number: 56 (relative sequence number)] 
Acknowledgement number: 116 。 (relative ack number) 
Meader length: 20 bytes 
(PSH, ACK) 
Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
: Not set 
jedgnent: ser 


(2,5,85 
Active IP address: 132.188.3.2 (192.168.3.2) 
Active port: 1365 


图 8-10 


服务 器 端 返 回 一 个 应 答 ,应 答 号 200 表示 PORT 命令 被 接受 ,如 图 8-11 所 示 。 

客户 端 发 送 一 个 LIST 请 求 命令 ,请 求 一 个 列表 显示 文件 或 目录 ,如 图 8-12 所 示 。 

服务 器 端 用 端口 20 发 送 到 客户 端 端口 1365 一 个 同步 信息 。 注 意 ,这 里 就 开始 建立 数 
据 连接 了 ,可 以 看 到 服务 器 的 端口 为 20, 如 图 8-13 所 示 。 

客户 端 发 送 一 个 同步 确认 信息 ,如 图 8-14 所 示 。 

服务 器 端 对 报 文 段 16 BB LIST 命令 的 回应 ,如 图 8-15 所 示 , 可 看 到 数据 传输 使 用 
ASCII 码 模式 。 

服务 端 发 送 一 个 确认 信息 ,到 此 经 过 TCP 3 次 握手 数据 连接 已 经 建立 ,如 图 8-16 
所 示 。 

以 下 三 个 图 片 为 服务 器 端 用 端口 20 对 LIST 命令 的 执行 结果 进行 数据 传输 ,如 图 8-17 — 
图 8-19 所 示 。 

客户 端 对 收 到 的 报 文 段 (21、22、23) 进 行 TCP 确认 ,如 图 8-20 所 示 。 
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View Go Capure Analyze Siaistcs Help 


lx [eB] S] e| | «o 


al x] ©] 


[ces sce] 


13 8,881564 


No. — [Time Sauce [poca [irio 
IU 77376715  1U1-199- TST FTTH RT SET-ZI ARSE WIT SSS LETT 
11 8.772677 — 192.168.3. FTP Request: PASS china 
12 8.774207 — 192.168.2. FTP Response: 230 User logged in, proceed. 


1364 > fip [ACK] seq-33 Ack=116 wine17525 Len=0 
Request: PORT 192,168, 3.2,5,85 


Request: LI 


TCP fro-dara 


3365 [SYN] senen aci 


Frame 15 (St bytes on wire, B4 bytes captured) 
Bethernet II, sre: 00:0b:46:90:63:80, Ost: 00:50:08:82:d2:19 

B Internet Protocol, src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
transmission control Protocol, sre Port: ftp (21), Dst Port: 1364 (1364), Seq: 116, Ack: 56, Len: 30 


Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: 116 
[Next sequence number: 146 
Acknowledgement number: 56 
Header length: 20 bytes 

EFlags: 0x0018 (PSH, ACK) 

Q... see = Congestion window Reduced (wr: 
= ECN-Echo: Not set 

= Urgent: Not set 
Acknowledgment: set 

Push: set 

= Reset: Not set 

1.0. = Syn: Not set 

lll) 1.0 = Fin: not set 
window size: 17585 
Checksum: OxUfld (correct) 

日 [sEQyack analysis] 


e 


[This is an ACK to the segment in frame: 14] 
[The RTT to ACK the segment was: 0.000708000 


200 PORT Command successful. \r\n 
Response code: Command okay (200) 
Response arg: PORT Command successful. 


(relative sequence number) 
(relative sequence numberj] 
(relative ack number) 


: Not set 


seconds] 


mMm 


ors o3 oF og 13 o3 Mad) OOS ea oo Dl Team TN 
loose 4i bi df 1d 9 Tee FEM 
loos E eT Ce 
ooo 20 od og 
E 
"le Transder Protocol [FTPT (Np), 30 bytes E 
图 8-11 


Tine Source Destination 


eA: |S] E ETE ES EE EYES! E S 


[Ad Expression. | Che 


15 10.918681 

10. 924012 
17 10.936619 
18 10.936675 
19 10.937024 
20 10.937088 
21 10.939313 


192.158.2.2 
192.168. 
192.168 
192.168.3. 
192.168.2. 
192.168.2. 
192:168.2. 


192.168.5. 
192.168.2 
192.168.3. 
192.168.2. 
192.168.3. 
192.168.3. 
192.168 


aid Response: 200 PORT command successful. 
TCP 


TCP 


ftp-data > 1365 [SYN] Seq=0 Ack=0 winel6364 Len=0 MSS=1260 
1365 > ftp-data [SYN, ACK] Seq=0 Ack=1 Win=17640 Len=0 MSS: 
FTP Response: 150 Opening ASCII mode data connection for /bin/ 
T ftp-data > 1365 [Ack] Segel Ack=1 winel7640 Lene! 

FTP-DATA FTP Data: 58 bytes 


Frame 16 (60 bytes on wire, 60 bytes captured) 
B Ethernet II, src: 00:60:08 2:19, 
B Internet Protocol, src addr: 


Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 56 

[Next sequence number: 
Acknowledgement number 
Header length: 20 bytes 


EFlags: 0x0018 (PSH, ACK) 
-... = Congestion window Reduced (Cw 


ECN-Echo: Not set 
Urgent: Not set 
= Acknowledgment: Set 
- Push: set 
Reset: Not set 
Syn: Not set 
= Fin: Not set 
: 17495 
Checksum: Oxefed (correct) 
E [seq/ack analysis] 
[This fs an ACK to the segment in frame: 15] 


Dst: 00:0b:46:99:64:80 
192.168.3.2 (192.168.3.2), Dst addr: 
1364 (1364), Dst Port 


192.168.2.2 (192.168.2 
ftp (21), Seq: 56, Ack: 146, Len: 


(relative sequence number) 
(relative sequence number)] 
(relative ack number) 


: Mot set 


[rhe RTT to ACK the segment was: 0.005331000 seconds] 


日 Fi1e Transfer Protocol (FTP) 
E LIST An 


46 98 6a 
50 b8 40 
05 S4 00 
ef 91 00 


30 00 60 28 8: d2 19 
00 80 06 23 bd co a8 
15 05 Gd 99 52 el 97 
E Od 0a 


03 
e 


08 00 45 00 
02 cO a8 
20 50 18 


TWO 


FIP ~ Ethereal 


FTP 和 TFTP 协 | 


回回 


Fie Edi View Go Capue Analee Staisicr Heb 


13 10.918681 
16 10.924012 


192.168.2.2 
192.168.3.2 


Response: 
Request: LIST 


18 10.936675 
19 10. 937024 
20 10.937088 
21 10.939313 


Response: 150 opening ASCII 
frp-data > 1365 [ack] seq=1 
58 bytes 


200 PORT Command successful. 


1365 > ftp-data (SYN, ACK] Seq=0 Ackel Win=17640 Len=0 MSS-: 


mode data connection for /bin/l: 
Ackei wine17640 Len=0 


Frame 17 (62 bytes on wire, 62 bytes captured) 
JH Ethernet Il, src: 00:0b:46:99:6a:80, Dst: 00:60:08:82: 
B Internet Protocol, src addr: 192.168.2.2 (192.168.2.2), Ost Addr: 192.168.3.2 (192.168.3.2) 
[E Transmission contro! Protocol, 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 0 (relative sequence number) 
Header length: 28 bytes 
Flags: 0x0002 (SYN) 
Congestion window Reduced (CwR): 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Not set 
Push: Not set 
Reset: Not set 
i Set 
Not set 


Not set 


checksum: OxeBa4 (correct) 
Boptions: (8 bytes) 
Maximum segment size: 1260 bytes 
NOP 
NOP 
SACK permitted 


Src Port: ftp-data (20), Dst Port: 1365 (1365), Seq: 0, Ack: 0, Len: 0 


00 60 08 8: d2 19 00 0b 
00 30 19 cB 40 00 7f 06 
03 02 00 14 05 55 el cl 
40 00 e8 a4 00 00 02 04 


80 08 00 45 00 
a8 02 02 c0 a8 
90 00 00 70 02 
O1 04 02 


TP30107301 0 


[Time Sauce. 


10.918681 — 192.168.2. 
10.924002 — 192.168.3. 
10.936619 192.168.2 


192.168.3. 
192.168. 2. 
192.168.3. 


sponte: 
Request: LIST 
ftp-data > 1365 [SYN] seq=0 


EE 
10.937088 
10.939313 


192.168. 2. 
192.168. 2. 
192.168. 2 FTP-DATA 


192.168. 3. 
192.168. 3. 


Response: 150 Opening ASCII 
ftp-data > 1365 [ck] seq«l 


200 PORT Command successful. 


Ack«l Wine17640 Len=0 


|E Frame 18 (57 bytes on wire, 62 bytes captured] 
ethernet II, Src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:6a:80 
B Internet Protocol, src Addr: 192.168.3.2 (192.168.3.2), Dst addr: 192.168.2.2 (192.168.2.2) 
El Transmission contro! Protocol, src Port: 1365 (1365), Dst Port: ftp-data (20), Seq: O, aci 
Source port: 1365 (1365) 
Destination port: ftp-data (20) 
Sequence number: 0 (relative sequence number) 
Acknowledgement number: 1 — (relative ack number) 
Meader length: 28 bytes 
Flags: 0x0012 (SYN, ACK) 
= Congestion window Reduced (wr): 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: set 
Push: Not set 


1, Le 


Not set 


Checksum: Oxdzc4 (correct) 
Boptions: (8 bytes) 


SACK permitted 
E [sEQ/4ck analysis] 

[This is an ACK to the segment in frame: 17] 

[the RTT to ACK the segment was: 0.000058000 seconds] 


00 0b 46 39 6a G0 00 60 08 82 G2 19 08 0045 00 -.F.]- 
00 30 50 b9 40 00 80 06 23 ba cO a8 03 02 cO a8 — .0P.8... 
02 02 05 55 00 14 05 98 Oa 87 el cl ed c3 70 12 

44 eB d2 c4 00 00 02 04 05 b4 Ol 0L 04 02 


FAUST 
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15 10.818681 192.168. 192.168.3.2 FTP 200 PORT Command successful. 
16 10.924012 192.168.2.2 FTP Request: LIST 
17 10.936619 192.168.3.2 Tc Ftp-data > 1365 [SYN] seq-0 Ack=0 wine16384 Len=0 wss«1260 
12 1365 > ftp-data [SYN, 
H Response: 150 e 
+2 Ftp-data > 1365 [ACK] Seq-1 Ack-l win-17640 Len=0 
21 10.939313 192.168.3.2 FTP-DATA FTP Data: 58 bytes 引 


M Frame 19 (107 bytes on wire, 107 bytes captured) 
ethernet IT, src: 00:0b:46:99:6a:80, Dst: 00:60:08:82:02:19 
B Internet Protocol, src Addr: 192.168.2.2 (192.168.2.2), Ost Addr: 192.168.3.2 (192.168. 
E Transmission control Protocol, src Port: ftp (21), Dst Port: 1364 (1364), Seq: 146, Ack 
Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: 146 (relative sequence number) 
[Next sequence number: 199 (relative sequence number)] 
Acknowledgement number: 62 (relative ack number) 
Header length: 20 bytes 
Ox0018 (PSH, ACK) 
Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: set 
Push: set 
Not set 
Not set 
Not set 


s> isba 
window size: 17579 
Checksum: Oxf228 (correct) 
日 [ssQyack analysis] 
[This 4s an ACK to the segment in frame: 16] 
[the RTT to ACK the segment was: 0.013012000 seconds] 
Bile Transfer Protocol (FTP) 
日 150 opening asctr mode data connection for /bin/Ts.\r\n 
Response code: File status ckay; about to open data connection (150) 
Response arg: opening ASCII mode data connection for /bin/1s. 


| 


TEREF Ip v0 Gb ae 95 Ga GO OB 09 a5 00 DER 
[ooo O0 5d 19 c9 40 00 7f 06 5b 7d cO a8 02 02 cO a8 + Cheese 

ozo os dz go 13 os St ef Sy cs go 63 oa 99 sa 5 niuer Diae 

[0030 44 ab f2 28 00 00 31 35 30 20 4f 70 65 6e 69 6e D..(..15 0 Openin 

poso 67 20 41 52 $3 49 49 20 Gd Of 64 e» 20 64 5l 74  g ASciT mode dat 

File: FTP 31 KB 00.01.39. P101 D: 101 M: 0 


Fie Edi View Go Cape Anaye Statistics Heb 


10.918681 
10.924012 
10.936619 
10.936675 


192.168.2.2 
192.168.3.2 
192:168.2 
192:168.3. 
192.168.2 


10. 939313 


192.168.2.2 


192.168. 3. 
192.168. 2, 
192.168. 3. 


FTP-DATA FTP Dat 


ERROR 
Request: LIST 

ftp-data > 1365 [syn] 
1365 > ftp-data [SYN, 
Response: 150 opening 


seq-0 Ack=0 win=16384 Len=0 MSS=1260 
ACK] Seq=0 Ack=1 win-17640 Len=0 MSS-- 
ASCII mode data connection for /bin/1: 


58 bytes 


(S Frame 20 (60 bytes on wire, 60 b 
GB Ethernet II, src: 00:0b:46:99:6a 
E Internet Protocol, src Addr: 192 


Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 1 
Acknowledgement number: 
Header length: 20 bytes 

日 Flags: 0x0010 CACK) 

+ = Congestion wind 
ECN-Echo: Not s 
Urgent: Not set 
acknowledgment : 
Push: Not set 

- Reset: Not set 


1 


window size 
Checksum: Oxff88 (correct) 
E [sey/ack analysis] 
[This is an ACK to the segm 
[The RTT to ack the segment 


ytes captured) 
:80, DSt: Ol 
.168. 2. 


(relative sequence number) 
(relative ack number) 


iow Reduced (CWR): Not set 
et 


sex 


ent in frame: 18] 


was: 0.000413000 seconds] 


.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
E Transmission Control Protocol, src Port: ftp-data (20), Ost Port: 1365 (1365), Se 


1, Ack? 1, Ler 


00 50 08 8: d2 19 00 ob 
00 28 19 ca 40 00 7f 06 
03 02 00 14 05 55 el cl 
44 e8 ff 88 00 00 00 00 


46 98 Ga 80 08 00 45 
Sb bl cO a8 02 02 có 
ed c3 05 98 0a 88 50 
00 00 00 00 


mow 
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Fie Edi View Go Cape Analyze Statistice Heb 


10. 94 192.168.2.2 "s FTP-DATA FTP Data: 1260 bytes 
10.940137 192.168.2.2 FTP-DATA FTP Data: 62 bytes 

10.940160 — 192.168.3.2 68.2. TCR 1365 > ftp-data [ACK] Seqel Ack«1381 wine17640 Len=0 
10.942399 — 192.168.2.2 E FTP-DATA FTP Data: 1140 bytes 

10.943138 — 192.168.2.2 2.168. 3. FTP-DATA FTP Data: 1260 bytes 


[E Frame 21 Giz bytes on wire, 112 bytes captured) 
|= Ethernet 11, src: 00:0b:46:99:6a:80, Ost: 00:60:08:82:d2:19 
|I internet Protocol, src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
JE Transmission centro! Protocol, src Port: ftp-data (20), bst Port: 1365 (1365), Seq: 1, Ack: 1, Len: 58 
| ^ source port: ftp-data (20) 
| ^ Destination port: 1365 (1365) 
Sequence number: 1 (relative sequence number) 
[Next sequence number: 59 — (relative sequence number)] 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 20 bytes 
Ox0018 (PSM, ACK) 
++ = Congestion window Reduced (CWR): Not set 
Lill = ECN-Echo: Not set 
urgent: Not set 
Acknowledgment: Set 
Push: set 
Reset: Not set 
Syn: Not set 
Fin: Not set 
window size: 17640 
| checksum: Oxcd94 (correct) 
日 FTP pata 
FTP Data: drw-rw-rw- 1 user 0 3u] 23 16:49 .Nm 


=x eS) 84/9] 2 s/2 EXE: ox 
Add Expression. | Clear) 


[Time Souce. 


10.937088 — 192.108.2.2 192.168. 3.2 
10.939313 192.168.3.2 F FTP Data: 58 bytes 


ftp-data > 1365 [ACK] Seq-l Ack«l win=17640 Len=0 


FTP-DATA FTP Data: 62 bytes 
10.940160 192.168.3. 192:168.2: Tee 1365 > ftp-data [Ack] seq-1 Ack«1381 win«17640 Len=0 
10.942399  192.168.2 192:188.3. FTP-DATA FTP Data: 1140 bytes 
10.943138 192.168.2. 192.168.3.2 FTP-DATA FTP Data: 1260 bytes 


[GB Frame 22 (1314 bytes on wire, 1314 bytes captured) 
|= Ethernet 11, src: 00:0b:46:99:6a:80, ost: 00:60:08:82:d2:19 
E Internet Protocol, src Addr: 192.168.2.2 (192.158.2.2), Dst addr: 192.168.3.2 (192.168.3.2) 
E Transmission contro] Protocol, sre port: ftp-data (20), ost Port: 1365 (1365), Seq: 59, Ack: 1, Len: 1260 
Source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 59 (relative sequence number) 
[Next sequence number: 1319 (relative sequence number)] 
Acknowledgement number: 1 (relative ack number) 
Meader length: 20 bytes 
Ox0018 (PSH, ACK) 
Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
Push: sat 
Reset: Not set 
syn: Not set 
= Fin: Not set 
17640 
Checksum: Oxbl6e (correct) 
日 Frp Data 
FTP Data: drw-rw-rw- 1 user group JUI 23 16:49 .. vrNn-Pw-rw-rw- group 。 5273720 Mar 1 12:34 1.8\| 


FD 
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Ethereal 


192.168. 2. .3. FTP-DATA 
192.168.2 FTP-DATA 


192.168.3. 
25 10.942399 — 192.168.2 68.3. FTP-DATA 1140 bytes 
26 10.943138 — 192.168.2 EN FTP-DATA 1260 bytes 
27 10.943874 — 192.168.2.2 R FTP-DATA : 1260 bytes 


Frame 23 (116 bytes on wire, 116 bytes captured) 
E Ethernet 11, src: 00:0b:46:99:6a:80, Dst: 00:50:08:82:02:19 
internet Protocol, src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 
|E Transmission contro! Protocol, src Port: ftp-data (20), Dst Port: 1365 (1365), seq: 1319, Ad 
| ^ source port: ftp-data (20) 
Destination port: 1365 (1365) 
Sequence number: 1319 ~ (relative sequence number) 
[Next sequence number: 1381 (relative sequence number)] 
Acknowledgement number: 1 (relative ack number) 
Header length: 20 bytes 
0x0018 (P5H, ACK) 
++ = Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: Set 
Push: set 
Reset: Not set 
Syn: Not set 
Fin: Not set 


Checksum: Oxeb68 (correct) 
日 FTP Data 
FTP Data: group 3640192 apr 9 2003 Divx.Pro.v5.0.3-ECLÍPSE. 21p\r\n 


== [多 | 号 @4/e] 23/2 ajala wi FEE] 
Add Expression. | Clea) 


Tine Souce. 


10.939313 192.168. FTP-DATA FTP Data: 58 bytes 
10.940056 E FTP-DATA FTP Data: 1260 bytes 
10.040137 — 192.168. FTP-DATA FTP Dat. 
10.940160 192.108. 2 TC 1 ata TA ISl Win=1 7040 Len. 
10.942399 .2 FTP-OATA FTP Data: 1140 bytes 

2 


10.943138 192.168.2. FTP-DATA FTP Data: 1260 bytes 
10.943874 — 192.168.2.2 R FTP-DATA FTP Data: 1260 bytes 


(E Frame 24 ($4 bytes on wire, 54 bytes captured) 
|E Ethernet r1, src: 00:60:08:82:d2:19, Dst: 00:0b:46:99:6a:80 
| Internet Protocol, src Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
|E Transmission control Protocol, src Port: 1365 (1365), Dst Port: ftp-data (20), Seq: 1, Ack: 1381, Len: 0 
| source port: 1365 (1365) 
Destination port: ftp-data (20) 
Sequence number: 1 (relative sequence number) 
Acknowledgement number: 1381 (relative ack number) 
Header length: 20 bytes 
日 Flags: Ox0010 CACK) 
sees = Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgment: set 
Push: Not set 
Reset: Not set 
Syn: Not set 
Fin: Not set 
17640 
Checksum: Oxfa24 (correct) 
E [seg/ack analysis] 
[This is an ACK to the segment in frame: 23] 
[the RTT to ACK the segment was: 0.000023000 seconds] 


00 Ob 46 39 6a G0 00 60 08 82 G2 19 08 
00 28 50 ba 40 00 80 06 23 cl cO a8 03 
02 02 05 55 00 14 05 98 Oa 88 el cl fi 
44 e8 fa 24 00 00 


EPA TE TS AEE 
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LER 


当 数据 传 完 后 ,服务 器 端 和 客户 端 经 过 TCP 4 次 握手 关闭 数据 连接 ,保持 控制 连接 ,这 


时 ,还 可 以 进行 其 他 的 数据 传输 ,如 
据 连 接 已 完成 ,如 图 8-22 所 示 。 


图 8-21 所 示 。 接 着 服务 器 通过 控制 连接 ,告诉 客户 端 数 


7|2| alela] 到 四 图 


es carl war 


ENT 


WB 04.635022 
89 94. 6 
90 94. 636116 
91 94.641060 
92 94.642371 
93 94.755488 


192.168.2.2 
1 


102.168.3.2 
102.168.3.2 
192.168.2.2 
192.168.3.2 


FTP-DATA FIP Data: 27 bytes 
ft FIN, 
1368 > ftp-data [ACK] 
1368 > ftp-data [FIN, ACK] seq-l 
ftp-data > 1368 [ACK] Seq=29 Ack 
1364 > ftp [ACK] Seq-186 Ack=554 


ACK m 
Seq-1 Ack- 


IC 


oo 


m Frame 89 (60 bytes on wire, 60 bytes captured) 


Bethernet II, src: 00:0b: 


6:99:63:80, DSt: 00:60:08 


82:02:19 


Binternet Protocol, src Addr: 192.168.2.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 


a Transmission control protocol src port: ftp-data (oO) 


Source port: ftp-data (20) 
Destination port: 1368 (1368) 
Sequence number: 28 
Acknowledgement number: 1 
Header length: 20 bytes 

Brlags: Ox0011 (FIN, ACK) 
window size: 17640 
Checksum: Oxfcbe (correct) 


Ost Porti [EEL seq: ce. Ack NETTEN NN 


(relative sequence number) 
(relative ack number) 


[0000 
oo10 
0020 
0030 


00 60 08 82 
00 7f 06 


19 00 0b 46 99 6a 80 08 00 45 0 
58 db cO a8 02 02 cO 


rm Cares Protocol qp 20 byte 


Er 


司 轩 ss 了 lee 


91 94.641960 
92 94.642371 
93 04.755488. 


95 04.956116 
96 99.760537. 


192.168, 
192.168. 


1368 > ftp-data [FIN, ACK] seq-l 
ftp-data > 1368 [ACK] Seq=29 Ack 
1364 > ftp [ACK] Seqa186 Ack=554 

se: 226 Transfer compl 
1364 > ftp [ACK] Seq-186 Aci 
Request: QUIT 


m 


Frame 94 (78 bytes on wire, 78 bytes captured) 


Bethernet II, src: 
Binternet Protocol, src addr 


Source port: ftp (21) 
Destination port: 1364 (1364) 
Sequence number: 554 
[Next sequence number: 
Acknowledgement number 
Header length: 20 bytes 

Hrlags: Ox0018 (PSH, ACK) 
Window size: 17455 
Checksum: Oxcbif (correct) 


578 
186 


H226 Transfer complete. \r\n 


00:0b:46:99:6a:80, 
192.168. 
E Transmission Contro] Protocol, src Por 


Dst: 00: 
.2 (192.168.2.2), Dst Addr: 192.168.3.2 (192.168.3.2) 


ftp (21), Dst Port: 1364 (1364), Seq: 554, ack: 186, Len: 24 


(relative sequence number) 
(relative sequence number)] 
(relative ack number) 


Response code: Closing data connection (226) 


Response arg: Transfer 


complete. 


ic 6 
oc 


[Fre star Praca FTP) 25 bytes 


emia 


图 8-22 
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客户 端 发 送 TCP 确认 ,如 图 8-23 所 示 。 


xa 


四 


91 94.641969 8 102.168.2.2 1368 > ftp-data [FIN, ACK] seq-l 
92 94.642371 3 192.168.3.2 ftp-data > 1368 [ACK] Seq-29 Ack 
93 94.755488 i 192.168.2.2 1364 > ftp [ACK] Seq=186 Ack=554 
94 94.756037 192.168.3.2 onse: 226 Transfer 


x : C 1364 > 
96 99.760537 192.168.2.2 Request: QUIT 
IIT l---— — O 
Frame 95 (54 bytes on wire, 54 bytes captured) 
Bethernet I1, src: 00:60:08:82:d2:19, Dst: 00:0b:46 
Binternet Protocol, sre Addr: 192.168.3.2 (192.168.3.2), Ost Addr: 192.168.2.2 (192.168.2.2) 
E Transmission Contro! Protocol, src Port: 1364 (1364), Dst Port: ftp (21), Seq: 186, Ack: 578, Len: 0 
Source port: 1364 (1364) 


Header length: 20 bytes 
BFlags: Ox0010 Cack) 

window size: 17063 

Checksum: Ox9bcS (correct) 
m [sEQ/ACK analysis] 


[DOO 00 Ob 46 99 6a 80 00 60 08 82 d2 19 08 00 45 00 
0010 00 28 50 dB 40 00 80 06 23 a3 cO a8 03 02 cO a8 
0020 02 02 05 54 00 15 05 6d 99 d4 50 10 
0030 42 a7 9b c5 00 00 


[aeara roter Gop cr 3 yer 


图 8-23 


客户 端 发 送 退出 请 求 命令 QUIT ,如 图 8-24 所 示 。 


97 99. 761: 5 221 Goodbye! 
98 99.766428 2.2 1364 > ftp [FIN, ACK] Seq-192 Ac 
90 09.766941 192 ftp > 1364 [ACK] Seqe592 Ack=193 
100 99. 767103 i 192.168.3.2 ftp > 1364 [FIN, ACK] Seq«592 Ac 
101 99.767150 192.168.3.2 192:168.2.2 1364 > ftp [ACK] seq-193 Ack-593 
IL T zz 
Frame 96 (60 bytes on wire, 60 bytes captured) 
@ethernet II, src: O 8:82:d2:19, Ost: 00 6:99:6a:80 
B Internet Protocol, sre Addr: 192.168.3.2 (192.168.3.2), Dst Addr: 192.168.2.2 (192.168.2.2) 
E Transmission Control Protocol, Sre Port: 1364 (1364), Dst Port: ftp (21), Seq: 186, Ack: 578, Len: 6 
Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 186 ` (relative sequence number) 
[Next sequence number: 192 ^ (relative sequence number)] 
Acknowledgemert number: 578 (relative ack number) 
Header length: 20 bytes 
Flags: 0x0018 (PSH, ACK) 
Window size: 17063 
Checksum: Oxf403 (correct) 


日 QUITNN 
Request command: QUIT 


[O00 00 0b 46 99 6a 80 00 60 08 82 d2 19 08 00 45 00 
0010 00 2e 50 d9 40 00 80 06 23 9c cO aB 03 02 cO a8 
0020 02 02 05 54 00 15 05 6d 99 d4 el 97 c4 dO 50 18 
0030 42 a7 f4 03 00 00 


[Fre Tester Protocol FTP) TDL bytes EECD 


图 8-24 


服务 器 发 送 221 回应 ,告诉 客户 端 将 断 开 控制 连接 ,如 图 8-25 所 示 。 
接着 就 是 TCP 的 4 次 握手 ,结束 整个 FTP 会 话 .如 图 8-26 所 示 。 
到 此 ,分 析 了 FTP 协议 及 会 话 的 全 过 程 。 


| 105 


pop 


ela ele) se» Ier [a] eje eH od S] 
NT SESS 


za EC p mea [ee 
96 99.750537 192.168.3.2 192.168.2.7 FTP Request: QUIT 
98 99.766428 — 192.168.3.2 TCP 1364 > ftp [FIN, ACK] Seq-192 Ac 
99 99.766941 192.168. TCP ftp > 1364 [Ack] seq-592 Ack=193 
100 99.767103 — 192.168, Tp ftp > 1364 [FIN, ACK] Seq=592 Ac 

m Frame 97 (68 bytes on wire, 68 bytes 

B Ethernet II, Src: 00:0b:46:99:6a: ¿02:19 

B Internet Protocol, Sre Addr .2), Dst Addr: 192.168.3.2 (192.168.3.2) 


E Transmission Contro] Protocol, src Port: ftp (21), Dst Port: 1364 (1364), Seq: $78, Ack: 192, Len: 14 
Source port: ftp (21) 
Destination port: 1364 (1364) 


Sequence number: 578 — (relative sequence number) 
[Next sequence number: 592 (relative sequence number)] 
Acknowledgement number: 192 (relative ack number) 


Header length: 20 bytes 
Flags: Ox0018 (PSH, ACK) 
window size: 17449 
Checksum: 0xab5c (correct) 
 [SEQ/ACK analysis] 


日 221 Goodbye! \r\n 
Response code: service closing control connection (221) 
Response arg: Goodbye! 


— 

|0010 00 36 1c a3 40 00 7f 06 58 ca cO a8 02 02 cO a8 

92 00 15 05 54 e1 97 c4 do 05 od 99 da SO 18 

ab 5c 00 00 3 31 20 4 6 E 
[0040 


[Fre Taner Protocol (FTP) (Rp). V byes E 


EES] 


JAAG 
G/F 
EN 
x |s 
图 

an 加 
加 
t 
* 
& 
Er] 
ai) [e 
e 
fo] 
rs] 
ki 
加 


Time een — [ee 
TT TT TSET Ttp [CR] Se-TH ACK=578 
36 99.760537 FTP Request: QUIT 


97 99. 761156 FTP Response: 221 Goodbye! 
99 99. 766941 192.168. TCP ftp > 1364 [ACK] Seq-592 Ack=193 
100 99.767103 192.168. ud ftp > 1364 [FIN, ACK] Seqe592 Ac 
101 99.767150 192 TCP. 1364 > ftp [Ack] Seq=193 Ack 


E Frame 98 (34 bytes on wire, 54 bytes captured) 
B Ethernet II, src: 00:60 d2:19, Dst: 00:0b:4 
B Internet Protocol, src Addr: 192.168.3.2 (192.168. 


1:62:80 
.2), Dst Addr: 192.168.2.2 (192.168.2.2) 


Source port: 1364 (1364) 
Destination port: ftp (21) 
Sequence number: 192 ~ (relative sequence number) 
acknowledgement number: 592 —— (relative ack number) 
Header length: 20 bytes 

GFlags: OxO011 (FIN, ACK) 
window size: 17049 
Checksum: Ox9bbe (correct) 

& [sEQ/AcK analysis] 


00 ob 46 99 6a 80 00 60 08 87 
00 28 50 da 40 00 BO Q6 23 al 


Farr Coe Pene Oop) ier FR 


图 8-26 


前 面 讲 FTP 还 有 个 被 动 模式 , 它 和 主动 模式 的 区 别 如 下 : 


OD 


动 模式 时 ,客户 端 发 送 一 个 PORT 命令 给 服务 器 端 ,服务 器 依据 PORT 命令 中 


指定 的 端口 和 客户 端 建立 数据 连接 ,在 被 动 模式 下 ,客户 端 发 送 PASV(passive) 命 令 给 服务 
器 端 ,表明 客户 端 希望 进入 Passive 模式 。 


(2) H 


及 务 器 端 进行 应 答 ,应 答 包 括 服务 器 的 IP 地 址 和 一 个 用 于 建立 数据 连接 的 端口 ， 


而 不 是 前 面 所 提 到 的 服务 器 端 用 的 20 端口 。 
(3) 客户 端 发 送 一 个 SYN 包 , 源 端口 为 客户 端 自己 选择 的 一 个 端口 ,目的 端口 为 服务 
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器 在 PASV 应 答 命 令 中 指定 的 端口 号 。 

(4) 服务 器 端 发 送 SYN ACK 包 给 客户 端 ,目的 端口 为 第 三 步 中 客户 端 自己 选择 的 端 
H , 源 端 口 为 PASV 应 答 中 指定 的 端口 号 。 

(5) 客户 端 发 送 一 个 ACK 包 。 可 以 看 到 服务 器 在 被 动 方式 下 ,建立 数据 连接 传输 数据 
时 用 的 端口 是 由 服务 器 在 发 送 PASV 应 答 时 指定 的 ,不 是 主动 方式 时 的 20 端口 。 其 他 方 
面 主动 和 被 动 方式 都 一 样 。 


8.2 TFTP 协议 


TFTP 是 普通 文件 传输 协议 , 它 也 用 于 传输 文件 ,但 它 与 FTP 不同 ,FTP 使 用 TCP 而 
TFTP 使 用 UDP, 默 认 端 口 为 69。TFTP 不 需要 任何 形式 的 用 户 登录 认证 。TFTP 设计 是 
为 了 进行 小 文件 传输 , 它 不 具备 FTP 的 许多 功能 . 它 只 能 从 文件 服务 器 上 获得 或 写 入 文件 ， 
不 能 列 出 目录 ,不 能 创建 和 删除 目录 ,不 能 删除 文件 , 当 要 终止 连接 时 ,TFTP 就 会 传送 小 于 
512 字 节 的 数据 块 。 如 果 发 送 的 数据 正好 为 512 字 节 的 整数 倍 , 那 么 发 送 端 必须 发 送 一 
具有 0 字 节 的 数据 块 来 表示 传输 结束 。 

TFTP 数据 传输 有 两 种 模式 : 对 于 ASCI 文件 ,用 netascii, 这 是 8 位 的 ASCII 码 形 式 
BU NVT ASCII; 另 一 种 是 对 于 二 进 制 文件 ,用 octet, 这 是 二 进 制 8 位 组 数据 类 型 。 

A) TFTP 的 任何 传输 由 一 个 读 取 或 写 和 人 文件 的 请 求 发 起 ,这 个 请 求 也 是 连接 请 求 。 
如 果 服 务 器 同意 此 请 求 , 则 服务 器 打开 连接 ,数据 以 定 长 512 字 节 传输 。 每 个 数据 包 包 含 一 
段 数据 ,服务 器 发 出 下 一 个 数据 包 以 前 必须 得 到 客户 端 对 上 一 个 数据 包 的 确认 。 如 果 数 据 
包 在 传输 过 程 中 丢失 ,发 出 方 会 在 超时 后 重新 传输 最 后 一 个 未 被 确认 的 数据 包 。 通 信 的 双 
方 都 是 数据 的 发 出 者 与 接收 者 ,一 方 传输 数据 接收 应 答 , 另 一 方 发 出 应 答 接收 数据 。 

(2) TFTP 有 5 种 类 型 的 包 , 这 5 种 类 型 的 包 对 应 的 操作 码 和 用 法 如 表 8-1 所 示 。 


表 8-1 TFTP 操作 码 


操作 码 包 类 型 说 明 

1 Read Request (RRQ) 读 文 件 请 求 , 客 户 端 发 送 RRQ 报 文 , 服 务 器 响应 DATA 报 文 

2 Write Request (WRQ) 存储 文件 请 求 ,服务 器 响应 块 号 为 0 的 ACK 报 文 ,客户 端 收 
到 确认 后 ,发送 块 号 为 1 的 第 一 个 数据 块 
发 送 数据 包 文 , 数 据 用 DATA 报 文 发 送 后 ,等 待 ACK RX. 

3 Data (DATA) 如 果 发 送 端 在 超时 前 收 到 ACK 报 文 就 发 送 下 一 个 数据 块 , 否 
则 重 传 未 被 确认 的 数据 包 文 

4 Acknowledgment (ACK) | 数据 确认 报 文 

5 Error (ERROR) 出 错 报 文 


TFTP 的 会 话 实例 如 下 。 

在 主机 上 向 TFTP 服务 器 192. 168. 2. 2 请 求 一 个 ipv6. txt 的 文档 ,如 图 8-27 所 示 。 

首先 客户 端 建立 连接 ,使 用 UDP 连接 TFTP 服务 器 的 69 端口 ,发 送 一 个 请 求 信息 ,如 
8-28 所 示 。 

在 TFTP 信息 中 ,可 以 看 到 ,这 个 请 求 包 包含 的 字段 信息 如 下 。 

操作 码 : 1, 说 明 这 是 个 读 文件 请 求 Read Request RX. 
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\|C:\WINNT\system32\cmd.exe 


C:\Documents and Settings \Administrator>tftp 192.168.2.2 get ipv6.txt 
Transfer successful: 83 bytes in 1 second, 83 bytes/s 


C:\Documents and Settings Midninistrator? 


(d tftp — Ethereal 


File Edit Mew Go Capture Analyze Statistics Help 


aja] wem mix aj 


/| wa Expression. Clear| Apply 


Protocol [into 
ee-tfor-br STP Conf. Root = 32770/00: ius 
Read Emm File: 


Bi Frame 7 (62 bytes on wire, 62 
困 Ethernet II, Src: 00:60:08:8 
E Internet Protocol, Src Addr: 168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 
困 User Datagram Protocol, Src Fort: 1044 (1044), Dst Port: tftp (69) 
B Trivial File Transfer Protoccl 
Opcode: Read Request (1) 


Type: netascii 


O2 02 04 14 00 45 00 1c 5 
加 6e 65 74 


00 O8 74 1€ 4a 4f 00 60 
00 30 02 13 00 00 80 11 E 


[TFTP source file name (tp source. fie), 9 bytes rows 


文件 名 : ipv6. txt, 由 于 文件 名 长 度 可 变 , 所 以 在 文件 名 结束 时 用 1 字 节 0 来 作 标记 。 

传输 模式 : netascii, 

随后 ,如 图 8-29 所 示 ,可 以 看 到 服务 器 不 是 用 端口 69 来 发 送 一 个 数据 包 , 服 务 器 选择 
了 一 个 端口 2204 来 向 客户 端 建立 连接 时 的 端口 1044 发 送 数 据 包 ,这 时 的 这 个 服务 器 和 客 
户 端 的 端口 会 一 直 使 用 ,直到 TFTP 连接 结束 .数据 包 包 含 如 下 三 个 字段 信息 。 

操作 码 : 3, 说 明 这 是 个 发 送 数 据 包 文 。 

块 号 : 1。 

数据 : 83 bytes。 

注意 : 数据 超过 512 字 节 的 话 , 必 须 分 块 ,数据 块 号 域 从 1 开始 编码 ,每 个 数据 块 加 1， 

这 样 接收 方 可 以 确定 这 个 包 是 新 数据 还 是 已 经 接收 过 的 数据 。 数据 域 为 0 字 节 一 512 F 

节 。 如 果 数 据 域 是 512 字 节 则 它 不 是 最 后 一 个 包 , 如 果 小 于 512 字 节 则 表示 这 个 包 是 最 后 
一 个 包 。 除 了 ACK 和 用 于 中 断 的 包 外 ,其 他 的 包 到 确认 。 发 出 新 的 数据 包 等 于 确 
认 上 次 的 包 。WRQ fe DATA 包 由 ACK 或 ERROR 数据 包 确 认 , 而 RRQ 数据 包 由 DATA 
或 ERROR 数据 包 确 认 。 

客户 端 收 到 数据 后 发 送 一 个 确认 信息 ,确认 信息 包含 以 下 字段 信息 ,如 图 8-30 所 示 。 

操作 码 : 4, 说 明 这 是 个 数据 确认 报 文 Acknowledgement. 

要 确认 的 块 号 : 1 
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(à tftp - Ethereal 


7 5.531467 
E 35 


9 5.536155 


国 Frame 8 (129 bytes on wire, 129 bytes captured) 


ethernet II, Src: 00:08:74:16:4a:4f, Dst: 00:60:08:82:d2:19 
Dst Addr: 192.168.2.3 (192.168. 2.3)| 


Dst Port: 1044 
Source port: 2204 (2204) 
Destination port: 1044 (1044) 
Length: 95 
Checksum: Oxeel9 (correct) 
B Trivial File Transfer Protocol 
opcode: Data Packet (3) 
Block: 1 
Data (83 bytes) 


34 0d 00 0d 
Oa Od 00 Od 
d oa ad 90 od 


Source 
7 5.531467 192.168.2. 192.168.2.2 
8 5.536035 — 192.168.2. 192.168.2.3 
E] H mm 2 


192.1) 


国 Frame 9 (46 bytes on wire, 46 bytes captured) 
B Ethernet II, Src: 00:60:03:82:d2:19, Dst: 00:08:74:16:4a:4f 
E Internet Protocol, src addr: 192.168.2.3 (192.168.2.3), Dst Addr: 192.168.2.2 (192.168.2.2) 
Buser Datagram Protocol, Scc Port: 1044 (1044), Dst Port: 2204 (2204) 
Source port: 1044 (1044) 
Destination port: 2204 (2204) 
Length: 12 
Checksum: 0x6dcb (correct) 
E Trivial File Transfer Protocol 
Opcode: Acknowledgement (4) 
1 


foo00 00 08 74 16 4a 4f 00 50 08 82 d2 19 08 00 45 00 
lo010 00 20 02 14 00 00 80 11 b3 63 cO a8 02 03 cO a8 
[0020 02 02 04 14 08 9c 00 ðc Gd cb 00 04 00 O1 


| File: ftp 955 bytes 00:00:08 


图 830 
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9.1 POP3 协议 


收 电子 邮件 时 用 到 的 就 是 POP3 协议 。POP3(Post Office Protocol 3) 是 
规定 怎样 连接 到 Internet 的 邮件 服务 器 和 下 载 电 子 邮 件 的 协议 ,目前 已 发 展 
到 第 3 版 , 称 POP3。POP3 接收 邮件 服务 器 用 来 接收 通过 网 络 发 送 来 的 电 
子 邮 件 , 同 时 POP3 允许 用 户 从 服务 器 上 把 邮件 存储 到 本 地 主机 上 ,并 删除 
保存 在 邮件 服务 器 上 的 邮件 。 

初始 时 ,服务 器 通过 侦 听 TCP 端口 110 开始 POPS 服务 。 当 客户 主机 需要 
使 用 服务 时 , 它 将 与 服务 器 主机 建立 TCP 连接 。 当 连接 建立 后 ,POP3 发 送 确 
认 消 息 。 客 户 向 POPS 服务 器 发 送 命令 并 等 待 响应 ,命令 用 ASCH 码 表示 , 服 
务 器 对 客户 请 求 进行 响应 ,响应 的 第 一 行 以 ASCII 文本 十 OK 或 一 ERR 指出 相 
应 的 操作 状态 是 成 功 还 是 失败 。 这 个 请 求 /响应 过 程 一 直 要 持续 到 连接 终止 。 

POP3 会 话 在 生命 周期 中 有 三 个 不 同 的 状态 。 一 旦 TCP 连接 被 打开 ,就 
进入 了 “确认 ”状态 ,大 多 数 现 有 的 POPS 客户 端 与 服务 器 执行 采用 ASCII 明 
文 发 送 用 户 名 和 口令 给 服务 器 进行 身份 确认 ,客户 端 必须 向 POP3 服务 器 确 
认 自 己 是 其 客户 ,服务 器 确认 后 ,服务 器 会 在 邮件 上 加 上 排 它 锁 ,以 防止 在 进 
入 “更 新 ”状态 前 对 邮件 的 改变 ,服务 器 返回 一 个 “确认 ”状态 码 , 确 认 成 功 后 
就 进入 “操作 ”状态 ,在 “操作 ”状态 下 .服务 器 就 获取 与 客户 邮件 相关 的 资源 ， 
客户 提出 服务 ,完成 相应 的 操作 后 ,客户 发 出 QUIT 命令 ,希望 结束 会 话 ,如 
果 这 时 的 服务 器 端 处 于 “操作 ”状态 , 则 在 QUIT 命令 后 进入 “更 新 "状态, 删 
除 那些 标记 成 删除 的 邮件 。 如 果 服 务 器 端 处 于 “确认 ”状态 , 则 结束 会 话 时 服 
务 器 端 不 进入 “更 新 ”状态 。 

POP3 用 12 个 命令 来 使 得 客户 端 计算 机 向 远程 服务 器 发 送 执行 指令 ,而 
服务 器 则 返回 给 客户 端 计算 机 状态 码 , 状 态 码 分 别 是 “确定 ”( 十 OK) 和 “ 失 
We” (—ERR). POP3 所 有 命令 以 及 服务 器 的 响应 的 状态 均 以 一 个 二 CR 
<LF> X44. POPS 所 有 的 命令 及 用 法 如 表 9-1 Bp. 
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表 9-1 POP3 的 命令 及 用 法 
命令 参 & 状态 描 xk 
USER Username 确认 用 户 身份 确认 是 提供 用 户 名 
PASS | Password 确认 用 户 身份 确认 是 提供 密码 
APOP | Name,Digest | 确认 | 指定 邮箱 的 字 串 和 MDS 摘要 串 
STAT | None 操作 请 求 服务 器 发 回 关于 邮箱 的 统计 资料 ,如 邮件 总 数 和 总 字 节 数 
UIDL | Msg# 操作 | 返回 邮件 的 唯一 标识 符 .POP3 会 话 的 每 个 标识 符 都 将 是 唯一 的 
LIST | Msg# 操作 返回 邮件 数量 和 每 个 邮件 的 大 小 
RETR | Msg# 操作 | 返回 由 参数 标识 的 邮件 的 全 部 文本 
DELE | Msg# 操作 | 服务 器 将 由 参数 标识 的 邮件 标记 为 删除 ,由 Quit 命令 执行 
RSET | None 操作 服务 器 将 重 置 所 有 标记 为 删除 的 邮件 ,用 于 撤销 DELE 命令 
TOP | Msg# 操作 服务 器 将 返回 由 参数 标识 的 邮件 前 n 行内 容 ,n 必须 是 正 整 数 
NOOP | None 操作 服务 器 返回 一 个 肯定 的 响应 
QUIT | None 更 新 | 结束 会 话 


POP3 的 会 话 实例 如 下 。 
开始 时 ,客户 端 与 服务 器 建立 TCP 连接 ,如 图 9-1 一 图 9-3 所 示 , 这 些 TCP 连接 中 , 服 
务 器 端口 为 110。 


Source port: 3089 Destination port: 42350 


ops > 1718 (svi, ACK] seqv0 Ack«l wines640 1 


bytes captured) 
182:02:19, Dst: Q0:0a:f4:32:b7:ff 


pops (110) 
‘co (relative sequence number) 


Boptions: (B bytes) 
Maximum segment size: 1460 bytes 


Mop 
SACK permitted 


ail pop) — Ethereal 


See nose ER Egg 


OF bat: 00:60:08:87:47:1F 
Protocel, src adde: 207.108.44.152 (202.108.44.152), DSt Addr: 10.214.6.15 (10,214.6.15) 
Version: 4 
Header length: 20 bytes 
Eipifferentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
‘0000 00.. = offferenctated services codepoint: Default COx00) 
1.0, = ECN-Capable Transport (CECT): O 
1110 2 ecn-ce: 0 
Total Length: 43 
Identification: 0x0000 (0) 
Flags: 0x04 (Don't rragnent) 
Gres - Reserved bit: ot set 
7 Don't fragment: set 
2.0. 2 More fragments: Not set 
Fragment offset: 0 
Time to Vive: Sl 
Draracal: Tee COx06), 
Header checksum: 0x3fdf (correct) 
Source: 202.108.44.152 (202,198. $4.252) 
Destination: 10.214.6.15 (10. 214.6.15) 
E Transmission Cortrol Protocol, src Port: pop3 (110), bst Port: 1718 (1718), seq: O, Ack: 1, Len: 
Source port: pop3 (110) 
Destination port: 1718 (1718) 
Sequence number: 0 (relative sequence number) 
Acknowledgement number: 1 — (relative ack number) 
Haacer Tengen: 28 bytes 
Flags: oz C AC) 
= Congestion window Reduced (Cw): Not set 
= ecn echo: wot set 
> Urgent: Not set 
~ acknowledgment: set 
> Push: Nor set 
I keset: Not set 


Checksum: 010207 (correct) 
options: (8 bytes) 

Maximum segment size: 1380 bytes 

SACK permitted 
日 [sEQVACK analysts) 

[this 15 ar ACK to the segment in frame: 31] 

[rhe RIT te ack the segment was: 0.046973000 seconds] 


3f af ca Ge 2e 98 Oa ob 
a Sf Se b ac e3 70 12 
05 ef oi on os Qi 


J Sels] F2 ajala A g] 


Eers] 


im Tene Tosca m 


32 19. 311337 202.109.46.152 20.214.615 pops > 1718 (SYN, Ack] seg- Ack«l wine’ 


[s ethernet II, sre: 00:60:03:82:02:19, DSt: 00:0: 
p internet Protocol, src Adde: 10.214.6.15 (10.214.6.15), DSt Addr: 202.108.44.152 (202.108.44.152) 
Version: 4 
Meader length: 20 bytes 
Eipifferentlated Services rleld: 0x00 (DSCP 0x00: Default; ECM: 0x00) 
OQ00 00.. = pifferentiated services codepoint: Default (0x00) 
- eU. = ECM-Capale Transport CECT): O 
pow 
Total Length: 40 
Identification: Ox2537 (9527) 
Flags: OK (Don't Fragment) 
~ ~ Reserved bir: Not Set 
| ont fragment 
> nore fragments: 
Fragment offset: 0 
Time to live: 128 
Protocol: TEP (0x06) 
Meader checksum: Oxcdaf (correct) 
Source: 10.214.6.15 (10.214.6.15) 
Destination: 202.108.44.152 (202.108.44.152) 
la transmission Control Pratacol, sre Port: 1718 (1718), bst Port: pop3 C110), Seq: i, Ack: 1, Len: 
‘Source port: 1718 (1718) 
Destination port: popi €110) 
Sequence number: 1 (relative sequence number) 
acknowledgement number: 1 (relative ack number) 
Meader length: 20 bytes 
Flags: 0 cr) 
D Congestion window Reduced (Cw): wot set 


Hor vor see 
> Acknovielgnent: set 
> Bushs now sev 
> Reset: Wot set 
lf now set 
indoy cies 16560 
Checksum: 0x0560 (correct) 
& [Sen Acx. analysis] 
Tints. is an ack to te seguent in frame: 32) 
':00008700) seconds] 


bY FF 00 60 os G2 d? URS OD 45 d 
40 00 80 06 cd af Oa de 06 OF ca Sc 
G 00 Se 9c b8 ac e$ a8 af 68 60 5010 


Fere 
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经 过 三 次 握手 后 ,服务 器 发 送 一 个 POPS 响应 ,进入 确认 状态 ,可 以 看 到 一 个 POP3 响应 
由 一 个 状态 码 和 一 些 附 加 信息 组 成 ,如 图 9-4 所 示 ,状态 码 为 OK ,这 个 响应 信息 以 二 CRLF 二 
结束 ,在 图 中 用 \Nn 来 表示 。 


Dst Addr: 10.214.6.15 (10.214.6.15) 


CN: 0x00) 
(00) 


图 9-4 


从 图 9-5 中 可 以 看 到 ,进入 确认 状态 后 ,客户 必须 向 服务 器 证 明 它 的 身份 ,那么 客户 端 
就 发 送 一 个 USER 命令 ,输入 用 户 名 。 

服务 器 端 发 送 TCP 确认 ,如 图 9-6 所 示 。 

服务 器 返回 一 个 状态 码 OK ,表示 服务 器 接受 客户 端 计 算 机 的 user 命令 ,如 图 9-7 
所 示 o 

客户 端 发 送 PASS 命令 ,输入 密码 ,如 图 9-8 所 示 。 

若 用 户 名 和 密码 正确 , 则 服务 器 返回 一 个 消息 ,状态 码 为 OK ,同时 ,还 可 以 看 到 邮箱 里 
信件 的 信息 : 一 封 邮件 ,大 小 为 807B, 如 图 9-9 所 示 。 

客户 端 发 送 STAT 命令 来 获得 目前 邮箱 中 电子 邮件 的 数量 和 每 个 邮件 的 大 小 ,如 图 9-10 
所 示 。 

服务 器 回应 STAT 请 求 ,状态 码 为 OK ,如 图 9-11 所 示 。 

客户 端 发 送 LIST 命令 来 获得 邮箱 里 邮件 的 编号 ,如 图 9-12 所 示 ,Response Arg 1807 
表示 有 一 封 信 ,大 小 为 807B。 

注意 : LIST 命令 的 参数 可 选 ,该 参数 是 一 个 数字 ,表示 的 是 邮件 在 邮箱 中 的 编号 ,可 以 
利用 不 带 参 数 的 LIST 命令 ,获得 各 邮件 的 编号 。 

服务 器 回应 LIST 请 求 ,状态 码 为 OK .如 图 9-13 所 示 。 


#98 POP3 $0 SMT 


Egg 


S 


[E Interner Protocol, Src adi: 10.214.6.15 (10.214.6.15), Ost Addr: 202.108.44.152 02.108.44.152) 


verston: à 
Header length: 20 bytes 
Eipifferentisted Services Field: 0x00 (DSCF Ox00: Default: EC: 0x00) 
(0000 00.. = Differentiated Services Codepoint: Default (0x00) 
reve 0 > EcN-capasle Transport CECT): O 
IND Iho > ECN-CES D 
Total Length: 59 
Idenciflcation: 0x2538 (9528) 
Flags: OxM4 (Don't rragnent) 
O... = Reserved bit: Not set 
TID T Don't fragment: set 
[lol 7 Mere fragmenti: Not set 
Fragment offset: 0 
Tine to Vive: 128 
Protocol: TEP (0x06) 
Source: 10, 214.6.15 (10,214-6.15) 
Destination: 202.108. 44.152 (202.108.44.152) 
ei Transmission Control Protacol, sre Port: 1718 (1718), Ost Port: pops (110), 
‘Source port: 1718 (1718) 
Destination port: pops (110) 
Sequence number: 1. (relative sequence number) 
[Next sequence number: 20 (relative sequence number)] 
Acknowledgement number: 62 (relative ack number) 
Header length: 20 bytes 
Flags: 0x0018 (Psm, ACK) 
acd Congestion window Reduced (CWR): wot set 
ECM-Echo: Not ser 
Urgent: wot sat 
Acknowledgment: set 
Push: set 
Reset: Not set 


Checksum: Oxcbod (correct) 
B [seQ/ack analysis] 
[thts 15 an ACK to tne segment tn frame: 34] 
[the RTT to ack the segment was: 0.000592000 seconds] 
le Post office protocol 
USER testing ma I\r\n 
Request USER 
Request arg: testing mat] 


. Seq: 1, Ack: 62, Len: 19 


D0 ba Fa 3S BY FF 00 10 
90 3b 25 38 40 00 80 06 
2c 98 06 bs 00 Se 9c ba 
45 73 eb 0d 00 00 $5 53 
Se 67 St 6d 62 69 6c 0d 


[B Frame 36 C60 bytes on wire, 60 bytes captured, 
ethernet Ir, sre: 00:01:f4:32:b7:ff, Ost: 00:60:08:82:02:19 


[E internet Protocol, src addr: 202.108.44.152 (202.108.44.132), ost Adde: 10.214.6.15 (10.214.6.15) 


Version: à 
Meader length: 20 bytes 
Eipifferentiated Services Field: 0x00 (DSCP 0x00: Default; ECM: 0x00) 
0000 00.. = pifferentated Services codepoint: Default (0x00) 
ves se. = ECN-Capasle Transport (ECT): € 
Lil ie > gemcer 9 
Total Length: 40 
Identification: Oxest9 (59641) 
日 Flag5: 0x04 (Don't Fragrant) 
O... = Reserved bit: Not set 
Sill Ion t fragment: set 
1.0. 7 More fragments: Mot set 
Fragnent offset: O 
TCP COx06) 
checksum: 0x36ed (correct) 
2 202.108.44.152 (202.108. 44.252) 
Destination: 10.214.6.18 (10.224.6.15) 
e transmission control protocol, sre Port: pop? (110), ost Port: 1718 (1718), 
‘Source port: pop3 (110) 
Destination port: 1718 (1718) 
Sequence mmber: 62 — (relative sequence number) 
Acknowledgement number: 20 (relative ack number) 
Header length: 20 bytes 
Flags: 0x0010 CACK) 
Congestion window Reduced (CWR): wot set 
Ec Echo: Not set 
Urgent: Not set 
Acknowledgment: set 
Push: Not set 
Syn: Not set 
Fin: wot set 
+ Sato 
Checksum: 0x2efb (correct) 
a [sea/ack analysts] 
[thts is an ack to toe segment In frame: 35] 
[the aTr to ack the segment was: 0.048358000 seconds] 


+ Seq: &h, ack: 20, Len: 


EFEFEF] LEES 
28 8 f9 40 00 33 06 EFE! 
OF 00 Ge 06 bo a8 af Fe 5010 
Wo 2e fb 00 00 00 00 
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36 19.407911 202.108.44.152 


[E internet Protocol, src addr: 202.108.4.152 (202.108.44.192), Dst Addr: 10.214.6.15 (10.214.6.15) 
Version: 4 
Header length: 20 bytes 
pifferent ated Series Field: ooo (oser oroo: pefailt: ecn: 0x00) 
= Differentiated services codepoint: Default (0x00) 
. EChrCapao1e Transport (ECT): O 
cence? 9 
otal Length: 55 
Identification: OxeSfa (59642) 
a Flags: Oxot Coon” t Fragment) 
. o Reserved bit: Not set 
l I pon t fragment: set 
. = More fragmenti: Not set 
Fragnent offset: 0 
Time co livas Si 
Protocol: TCP COx06) 
Header checksum: Ox56dd (correct) 
Source: 202,108.44.152 (202.108.44.192) 
Destination: 10.214.6.1 (20. 214.6.15) 
le transmission control Protaeol, sre Port: pop3 (110), bst Port: 
‘Source port: pops (110) 
Destination port: 1718 (1718) 
Sequence number; 62 — (relative sequence number) 
[Next sequence number: 77 — (relative sequence number] 
Acknowledgement number: 20 (relative ack number) 
Header length: 20 byt 
Flags: 0x0018 (PSH, ACH) 
[M Congestion window Reduced (cwt): wot set 
RCM-Echo: Not set 
Urgent: wot set 
Acknowledgment: set 


1718 Q718), Seq: 62, Ack: 20, Len: 15 


Sen 
window size 
Checksum: Oxeabb (correct) 

le post office protocol 
目 +ok core mile 
Response: «ok 
Response Arg: core ml 


EE 
EE 
Er 


EI a 
90 37 e8 fa 40 
98 OF 00 Me 06 
16 do ea bb 00 
[E fe od Oa 


EE] 
EE 
EE 


$5 20 63 


Response: +ox 1 message(s) [807 byte(s] 
a 


[E Interner Protocol, src Adi: 10.214.5.15 (10.714.6.1), Ost addr: 202.108.44.192 (202.108.44.152) 
Verston: à 
Meader length: 20 bytes 
目 pffferent1ared Services rleld: 0x00 (DSCP 0x00: Default: ECN: 0x00) 
0000 00.. = Differentiated services codepoint: Default (0x00) 
7 cw-Capasle Transport (ECT): O 
Io 1 Ecce: 9 
Total Length: sa 
Identification: Ox2539 (9529) 
Flags: Oxot (Don't Fragnent) 


39 19.462518  202.108.44.152 30.214.6.1* 


Fragment offset: © 
Tine to Vive: 128 
Protocol: rep (0x06) 
feeder checksum: 


Destination: 202:108.44.152 (202.208.44.252) 
ei rransmissTen control Protacol, sre Port: 1718 (1718), ost Port: 
Source port: 1718 (1718) 
Destination port: pop3 C110) 
Séquence rumber: 20 — (relative sequence number) 
[Next sequence number: 34 (relative sequence number] 
Acknowledgement number: 77 (relative ack number) 
Header length: 20 bytes 
Flags: 0x0018 (Psh, ACK) 
O... sess = Congestion window Reduced (CR): Not set 
ION ECN-Echo: Not ser 
Urgent: wot set 
Acknowledgment: set 
Push Set 
Reset: Not set 
> syn: not set 
lDIL 2 Fin: noe set 
window size: 16484 
Checksum: Oxebea (correct) 
B [seq/ack analysis] 
[thts 15 an ack to tre segment tn frame: 37] 
[the RIT to Ack the segment was: 0.000305000 seconds] 
| eost office protocol 
PASS testing\r\n 
Request: PASS 
Request arg: testing 


pop (110), Seq: 20, Ack: 77, Len: 14 


F232 br FF 00 0 
25 39 40 00 80 06 
06 be 00 Se 9c bà 
Gb ea 00 00 50 41 


08 a a 19 08 00 43 00 
‘ed of Oa dg oo OF ca 6c 
Se fe a8 af 68 ac So 15 
$5 53 20 74 65 73 74 69 


$612 9A s testi 
LH 
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40 19.463.68 10.214.5.15 202,108, 44.15: 


[E Interner Protocol, src adi: 202.108.4415 (202.108.4.152), Ost Addr: 10.214.6.15 (10.214.6.15) 
Verstont à 
Header length: 20 bytes 
Eipifferentisted Services Field: 0x00 (DSCF 0x00: Default: EC: 0x00) 

(0000 00.. = Differentiated Services Codepoint: Default (0x00) 
reer eU = EcN-Capanle Transport (ECT): O 
ID Io = ECN-CES D 

Total Length: 72 

Idenesficatton: OxeSfb (59643) 

Flags: Oxi (Don't Fragnent) 

O... = Reserved bit: Not set 
Si., pont fragment? set 
1.8. = more fragments: Not set 

Fragment offset: 0 

Tine to Tive: S1 

Protocol: TEP (0x06) 

Source: 202.108.44.152 (202.108.44.182) 

Destination: 10.214.6.1 (10.214.6.15) 

[e transmission control Protocol, sre Port: pop3 (110), Ost Port: 1718 (1718), Seq: 77, Ack: 34, Len: 32 

‘Source port: pop3 (110) 

Destination port: 1718 (1718) 

Sequence rumber: 77 relative sequence number) 

[ (relative sequence nunber)] 

(relative ack number) 


Header length: 20 bytes 
Flags: 0x0018 (Psm, ACK) 
pu 


Acknowledgment: set 
Push: set 
Reset: Not set 
Et Ihe 
window size: 5840 
Checksum: Qxa72f (correct) 
B [seQ/ack analysis] 
[This 15 an ACK to toe segment In frame: 38] 
[the RTT to ack the segment was: 0.054232000 seconds] 
le Post office Protocol 
目 +OK 1 message(s) [807 byte(s) ] vn. 
Response: «or 
Response arg: 1 message(s) [807 byte(s] 


OD 80 08 BY a 10-00 Da MI 
33 08 36 cb ca 6c 2c 98 Oa dé 
38 af 68 ac Se ba ad OF 30 18 
bir ib 20 3i 20 0d 65 73 7 
20 jb 38 30 37 202 79 74 65 


41 19.511520  202.108.44.152 Response: +0K 1 807 


3. Ost! 00:0a:fa:32:07: ff 
14.6.15 (10.214.5.15), Dst Addr: 202.108.44.152 (202.108.44.152) 


Meader length: 20 bytes 
Gotfrerentiated Services Field: 0x00 (DSCP 0x00: Default; EcN: 0x00) 
0000 00.. = Differentiated services codepoint: Default (0x00) 

tees od. = EcN-Capasle Transport (ECT: O 
IDIOT cence 9 
Total Length: 46 
Identification: Ox253a (9530) 
Flags: 0x04 (Don't Fragnent) 
Ores = Reserved bit: Not set 
sil I Don't fragment: set 
nol > more Fragments: Not set 
Fragnent offset: 0 
Tine to live: 128 
Protocol: rer (DAO6) 
Header checksum: oxedae Ccorrect) 
Source: 10,214.6.15 (10.214.615) 
Destination: 202.108.44.152 (202.108.44.152) 
[E transmission control pratacol, src Port: 1718 (1718), ost Port: pop3 (110), Seq: 34, Ack: 109, Len: 6 
Source port: 1718 (1718) 
Destination port: pop3 (110) 
Sequence mmber: 34 — (relative sequence number) 
[Next sequence number: 40 ~ (relative sequence number)] 
Acknowledgement number: 109 (relative ack number) 
Header length: 20 byt 
Flags: 0x0018 (PSH, ACK) 
9. Congestion window Reduced (wR): wot set 
Urgent: vot set 
Acknowledgment: set 


Checksum: 0x8389 (correct) 
B [seq/Ack analysis] 
[this 15 an ck to the segment in frame: 39] 
[the TT to ack the segment was: 0.000650000 seconde] 
le Post office Protocol 
BSTAT\r\n 
Request: STAT 


DO Ga Fe 32 br FF OD is 08 00 <5 00 

90 2e 25 3a 40 Q0 80 a do 06 OF ca Sc 

Be 98 08 ba 00 6e 9c 38 af 68 cx 50 18 
oa 
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[E Interner Protocol, sre adi: 202.108.44.15 (202.108,<8,152), Ost Addr: 10.214.6.15 (10.214.6.15) 
verston: 4 
Header length: 20 bytes 
Eipifferentisted Services Field: 0x00 (DSCF Ox00: Default: EC: 0x00) 

(0000 00.. = Differentiated Services Codepoint: Default (0x00) 
reve 0. = ECN-Capa3le Transport CBCT): O 
ID Io = ecne: D 

Total Length: 51 

Idanesflcatton: QxeSfc (59644) 

Flags: Ox04 (Don't Fragnent) 

O... = Reserved bit: Not set 
S1., pont fragment? set 
7.8. ~ more Fragments: not set 

Fragment offset: O 

Tine to Tive: S1 

Protocol: TCP (Ox06) 

Source: 202.108.44.152 (202.108.44.152) 

Destination: 10.214.6.15 (10.214.6.15) 

ei transmission control Protocol, src Port: pop3 (110), ost Port: 1718 (1718), Seq: 109, Ack: 40, Leni 11 

‘Source port: pop3 (110) 

Destination port: 1718 (1718) 

Sequence rumber: 109 (relative sequence number) 

[ (relative sequence nunber)] 

(relative ack number) 


Header length: 20 bytes 
Flags: 0x0018 (PSM, ACK) 
Ores 


Acknowledgment: set 
push: set 
Reset: Not set 
Br 
window size: 5840 
Checksum: Oxodd8 (correct) 
 [seQ/ack analysis] 
[thts 15 an ACK to toe segment tn frame: 40] 
[the RTT to ack the segment was: 0.018352000 seconds] 
| Post office Protocol 
目 +ok 1 BONA 
Response: «oW 
Response Arg: 1 807 


OD 80 08 BF a 1 00 De Fa 33 bY GE ECCE 
90 33 e8 fc 40 00 33 08 56 df ca 6c 2c 98 Oa 06 
98 OF 00 6 06 be asaf 68 cc Se ba ad Oa 30 18 
16 do Od dé 00 00 2b f 4b 20 3i 20 38 30 37 0d 


31 19.511370 


[s ethernet IT, sre 3 
E Internet Protocol, sre adi: 10.214.6.15 (10.214.6.15), Ost Addr: 202.108.44.152 (202.108.44.152) 
Version: 4 
Meader length: 
atfrerentiated Servi 0x00 (pscP 0x00: Dafault; ECN: 0x00) 
0000 00.. = Differentiated services codepoint: Default (0x00) 
reve esd, = EcN-Capasle Transport (ET): O 
ING = cence D 
Total Length: 46 
Identification: Ox253b (9532) 
Flags: 0x04 (Don't rragnent) 
O... = Reserved bit: Not set 
AID pon't fragment: set 
IU. > more fragments: Not set 
Fragnent offset: 0 
Tine to live: 128 
Protocol: rer (oa6) 
Header checksum: Oxcdat (correct) 
Source: 10,214"6.15 C10,214.6.15) 
Destination: 202.108.44.152 (202.108.44.152) 
e transmission control Prot3col, src Port: 1718 (1718), ost Port: pop3 (110), Seq: 40, Ack: 120, Len: 6 
Source port: 1718 (1718) 
Destination port: pop3 (110) 
Sequence mmber: 40 — (relative sequence number) 
[Next sequence number: 46 Creative sequence number] 
Acknowledgement number: 120 (relative ack number) 
Meader length: 20 byt 
E Flags: 0918 (PSH, ACK) 
9. Congestion window Reduced (wR): wot set 
Urgent: vot set 
Acknowledgment: set 


Checksum: 0x585 (correct) 
日 fsEQyAcx analysis] 
[this is an ack to the segment in frame: 41] 
[the TT to ACK the segment was: 0.066699000 seconde] 
le Post office Protocol 
BuIsT\r\n 
Request: LIST 


D0 Ga te 37 br FF OD 
90 2e 25 3b 40 Q0 80 
Be 98 08 be 00 Se 9c 
45 39 58 Be 00 00 4c 


#98 POP3 #1 SMT 


en: 21 


图 9-13 


RETR 命令 是 收 邮件 中 最 重要 的 一 条 命令 , 它 的 作用 是 查看 邮件 的 内 容 , 它 必须 带 参 
数 进行 ,该 命令 执行 之 后 ,服务 器 应 答 的 信息 比较 长 .其 中 包括 发 件 人 的 电子 邮箱 地 址 ,发 件 
时 间 、 邮 件 主 题 等 ,这 些 信息 统称 为 邮件 头 , 紧 接 在 邮件 头 之 后 的 信息 便 是 邮件 正文 。 

这 里 的 RETR 1 表示 查看 第 一 封 邮件 ,如 图 9-14 所 示 。 

服务 器 回应 RETR POR ,状态 码 为 OK ,如 图 9-15 所 示 。 

接着 服务 器 向 客户 端 传输 数据 ,如 图 9-16 所 示 。 

客户 端 对 收 到 的 数据 进行 TCP 确认 ,如 图 9-17 所 示 。 

服务 器 端 继续 传输 数据 。 可 以 看 到 当 信息 传送 结束 时 ,服务 器 端 发 送 一 个 结束 字符 (十 
进 制 码 46 也 就 是 十 六 进 制 码 2E, 也 就 是 <。”) 和 一 个 CRLF 对 (十 六 进 制 为 0DOA) ,它们 
的 排列 顺序 为 CRLF-CRLEF ,如 图 9-18 所 示 。 

客户 端 用 DELE 命令 是 用 来 删除 指定 的 邮件 ,如 图 9-19 所 示 。 

注意 : DELE N 命令 只 是 给 邮件 做 上 删除 标记 ,只 有 在 执行 QUIT 命令 之 后 ,邮件 才 会 
真正 删除 。 

服务 器 回应 DELE 请 求 ,状态 码 为 OK ,如 图 9-20 所 示 。 

客户 端 用 QUIT 命令 来 结束 与 POP3 服务 器 的 会 话 , 如 图 9-21 所 示 。 

服务 器 接受 客户 端的 QUIT 命令 ,返回 一 个 信息 .状态 码 OK ,如 图 9-22 所 示 。 

经 过 TCP4 次 握手 ,结束 整个 POP3 连接 ,如 图 9-23 一 图 9-26 所 示 。 
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aail pop3 — Ethere 


2] ajaja] sox g] 

J PEEL 

p T i 

PORTER responses oS 


(62 bytes on wire, 62 bytes captured) 
II, Ste: 00:60:08:82:42:19, Ost: 00:0a:f4:32:b7:ff 
Protocol, src Adde: 10.214.6.15 (10.214.6.15), Ost Addr: 202.108.44.152 (202.108.44.152) 


méacer length: 20 bytes 
Eipifferentisted Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
0000 00.. = Differentiated Services codepoint: Default (0x00) 
sere elo EcN-Capable Transport CECT): O 
Toral Length: 48 
Idercificarion: ox253c (9532) 
Flags: Ox04 (Don't Fragnent) 
O... = Reserved bit: Not set 
vis) pont fragment? sat 
I More fragrents 
ent offset: 0 
Time to live: 128 
Protocol: TP (0x06) 
Heacer checksum: Oxcda? (correct) 
Source: 10.214.6.35 (10.214.6.15) 
Destination: 202:109.44.152 (202.108, 44.252) 
le Transmission control protocol, src Port: 1718 (1718), ost Port: pop (110), seq: 46, Ack: 141, Len: 
‘Source port: 1718 (1718) 
Destination port: popi C110) 
Sequence number: 46 (relative sequence number) 
[Wert sequence number: 54 (relative sequence number] 
Ackrowledgement number: 141 (relative ack number) 
Heacer lengrh: 20 bytes 
EiFlagst 0018 (PSH, ACK) 
O... sess = Congestion window Reduced (Cw): Not set 
XM NECO: NOt set 
Urgent: wot set 
Acknowledgnent: set 
Push: set 
Reset: Not set 
window sizi 
Checksum: Ox315b (correct) 
B [secyace analysts] 
[hts 15 an ACK to the segment in frame: 43] 
[rhe art to Ack the segment was: 0.004756000 seconds] 
le Post office Protocol 
RETR 1\r\n 
Request: RETR 
Request Arg: 1 


fa crherner ir. src: OU:DNfA Io IIT. Ost? 00760208:82:d2 
[E Internet Protocol, Sre Ad: 202.108.44.152 (202.108.44.132), Ost Addr: 10,214.6.15 (10.214.6.15) 
Version: 4 
Meader length: 20 bytes 
EDifferentiated Services Field: 0x00 (DSCP ov00: Default: Bcn: 0x00) 
(0000 00.. = Differentiated services codepoint: Default (0x00) 
TE eb, 2 EcNCapanTe Transport (EC): 0 
epi 
rota Length? 56 
Identification: OxeaFe (59646) 
Flags: oxo (Don't Fragnent) 
Qi. » Reserved bit: wor set 
SLL I pont fragment: set 
Iib. I more fragments: Not set 
Fragment offset: © 
Time to ve: si 
protocol: Ter (woe) 
Meader checksum: Os36d8 (correct) 
Source: 202.108.44.152 (202.108.44.152) 
destination: 10.24.6.15 (10. 214.6.15) 
lateansmisston Control protocol, sre Port: pop3 (110), Det Port: 1718 (1718), Seq: 141, Ack: $4, Lent 16 
Source port: pop3 (1103 
Destination port: 1718 (1718) 
Sequence ruber: A (relative sequence number) 
next sequence number: 157” (relative sequence nusber)] 
Acknowledgement number: 54 (relative ack numberi 
Header length: 20 bytes 
GIF Tags: 0x0818 (Psn, ACH) 
Qi. suse = Congestion window Reduced (Cwi): Not set 
Eencecho: wot set 
Urgent: ot set 
Acknowledgment: set 
Push: set 
Syn: Nor set 
TILING Din: met set 
window size: Sa40 
Checksum: Oxe36b (correct) 
n [sea/acn analysts] 
Tints iz an ack to te segment fn frame: 44] 
[the art to ack the segment was: 0. 018923000 
[e rost office rrotocol 
日 1oK 807 octete V n 
Response? aor 
Response Arg: 807 octets 
FEEEEEEFIEEECE: 
S of Go se Os be aaaf 68 ec Se ba ad 
16 do e3 6b 00 00 2b df 4b 20 38 3037 
74 65 74 73 0d oa 
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gesta] lea] 


a EIEICSE3ESEEYS WE WZISE-ESIS] 


Er ee | 


- Te ony pem p 
TT UL 707 109-1137 TT 
47 19.880697 10.714 F215 200 108,44.157 TCR 


8.44.152 (202.108.44.152), Ost Addr: 10. 
‘© Port: pop3 (110), Ost Port: 1718 (1718) 


sre Add 
trol Protocol, 
pops (110) 


[B Internet praca 
E Transmission 
Source por 
Destination port: 1718 (1718) 
Sequence number: 157 — (relative sequence number) 
[Next sequence number: 963 (relative sequence number)] 
jowledgenent number: $4 ^ (relative ack number) 
Meader length: 20 bytes 


Flags: Ox0018 (PSH，ACK 
window size: 584 
Checksum: 01518 (correct) 


le eost. 


ice Protocol 


TD : p| 


GEL 


图 9-16 


0x00: pefauit: ecn: 0700 
io) 
108,44,152 
best inacton port: pops bo. 
(relative ack rember) 
window ste 
eism analysis] 
Tris is an 
fthe err to ack 
[re sae enar JEDER 


图 937 
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nail pop3 一 Ethereal 


Fie Edt View Go Captue Andee Statistics Help 


0 
202.108,44.152 


1 1 
49 19.737308 202.108.44.157 


Frame 48 (60 bytes on wire, 60 bytes captured) 
Ethernet II, src: 00:0a:f4:32:D7:ff, Dst: 00:60:08:82:d2:19 
B Internet Protocol, src addr: 202.108.44.152 (202.108.44.152), DSt Addr: 10.214.6.15 (10. 214] 
日 Transmission control Protocol, sre Port: pop3 (410), ost Port: 1718 (1718), Seq: 963, Ack: 
Source port: pop3 (120) 
Destination port: 1718 (1718) 
Sequence number: 963 — (relative sequence number) 
[Next sequence number: 968 (relative sequence nunber)] 
Acknowledgement number: 54 (relative ack number) 
Header length: 20 bytes 
Birlags: Ox0018 (PSH, ACK) 
window size: 5840 
Checksum: Oxe62f (correct) 


00 60 08 82 d2 19 00 0a f4 32 b7 ff 08 00 4$ O0. ...... 2. e Ee 
00 2d e9 00 40 00 33 06 56 el ca 6c 2c 98 0a d6 —1—:.0.3. Vil, 
06 OF 00 Se 06 b6 a8 af 6c 22 9c b8 ad 18 50 18 1..n.... 11] 
16 do e6 2f 00 00 MENDTNERCEUIEDD 00 EM. LL) 


ÉGEIETDI 


Response: «ok core mat) 


Version: 4 
Header length: 20 bytes 
Eipifferentlated services Field: 0x00 (oSCP 0x00: Default: ECN: 0x00) 
(0000 00.. = offrerenttated services codepoint: Default (0x00) 
0. > Ec-Capasle Transport (cT): O 
TIN IN@ 2 cence! D 
Total Length: 48 
Identification: Ox253e (9534) 
Flags: 0x4 (Don't Fragment) 
Ores - Reserved bir wot set 
sil > pont fragment: set 
Ul 1 More fragmenti: Not set 
Fragment offset: O 
Time to Vive: 128 
Protocol: TCP (0x06) 
Header checksum: Oxcdad (correct) 
Source: 10.214.6.15 C10,214.6.15) 
Destination: 202.108.44.152 (202.108.44.1! 
[a transmission control Protocol, sre Port: 1718 (1718), Ost Port: pop3 (110), Seq: 54, ack: 968, Len: 
Source port: 1718 (1718) 
Destination port: pop3 (110) 
Sequence number: 54 — (relative sequence number) 
[Next sequence number (relative sequence nunber)] 
nowledgement number. (relative ack number) 
Header length: 20 bytes 
SFlags: OxOUl8 (PS, ACK) 
Congestion window Reduced (Cw): Not set 
ECH-Echo: wot set 
Urgent: Not set 
Acknowledgment? ser 


Checksum: 0x4760 (correct) 
B [seq/acr analysis] 
[This is an ACK to the segment in frame: 48] 
[The RTT to ACK the segment was: 0.007680000 seconds] 
[Erost office protocol 
日 bgLE 2\r\n 
Request: DELE 
Request arg: 1 
309: i32 57 FF 00 80 


30 25 32 40 00 B0 06 
58 08 bs 00 Se 9e bb 
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ETE 8 <9] 152) ea) PS ES ESES] 
green] 


[e Internet Protocol, src Adde: 202.108.44.152 (202,108,44,152), Ust Addr: 10.214.6.15 (10.214,6.15) 
Version: 4 
Header length: 20 bytes 
Eipffferentisted Services Field: 0x00 (DSCP 0x00: Default; ecn: 0x00) 
0000 00.. = Differentiated Services codepoint: Default (0x00) 
tere od. = ECN-CapaoTe Transport (ECT): O 
IN Ie sewer 3 
Total Length: 55 
Identification: oxe901 (39649) 
Flags: oxos (Don't Fragnent) 
D jeserved bit: Not set 
sis! = tont fragment; set 
7.0; = More fragmenti: Not set 
Fragment offset: 0 
Time to Vive: S1 
Protocol: TCP COx06) 
Header checksum: Ox16dé (correct) 
Source: 202.108.44.152 (262.108. 44.252) 
Destination: 10.214.6.15 (210.214.6.1) 
e transmission control Protocol, sre Port: pops (110), Ost Port: 1718 (1718), Seq: 968, Ack: 62, Len: 15 
Source port: pop3 (110) 
Destination port: 1718 (1718) 
Sequence number: 968 — (relative sequence number) 
[Next sequence number: 983 — (relative sequence number)] 
Acknowledgement number: 62 (relative ack number) 
Header length: 20 byt 
EiFlags: 0x0018 (SM, ACK) 
Congestion window Reduced (cw): Not set 
RCM-Echo: Not set 
Urgent: vot set 
Acknowledgment: ser 
Push: set 
Synt Not set 
IE Iho fein: ot sec 
window size: 5840 
Checksum: 0xe707 (correct) 
E [seq/ack analysis] 
[thts 15 an ack to toe segment in frame: 49] 
[the RTT to ack the segment was: 0.050269000 seconds] 
le Post. office protocol 
目 +ok core matT\r\n 
esponse: 40x 
Response Arg: core ml 


FE! de $9 Se be aa $0 
e7 07 00 4b 20 63 6f 72 65 
6 Od Oa 


EEE 


Response: +OK core mat] 


So bytes captured) 
lE Ethernet ir, sre: 00:60:03:82:42.19. Dit: O0:0a:f4:32ub7:ff 
JB interner Protocol, sre adi: 10.214.6.15 (10. 24.6.15), ost Addr: 202.2108,44.152 Q02.109.44.152) 
Version: 4 
Header length: 20 bytes 
abifferenctated services Feld: 0x00 Cosce 0x00: Default; ecn: 0x00) 
(0000 Q0.. = Diferent dated services codepoint: Default Cox00) 
TU rr T Eenceapante Transport (ECT) 
III D Eo 
totai Lengeh: 46 
Tdene feat ons. 0x253f (9535) 
Flags: Oxot (Don't Fragment] 
人 = Reserved BIC: Not set 
AID ben t fragment: set 
20. ~ more fragrans: wot set 
rragant offset: © 
Tine to Tver 128 
brovocot: Ter Coxo) 
Meader checksum: 0x2dal (correct) 
Source: 10.214.615 (10.514.615) 
Dost fnarion: 20110844152 (202.108.44.15 
e transmission control provacol, Src Port: 1718 (1718), ost Port: pop? (110), seq: 62, Ack: 983, Len: 
Source porc: 1718 Q718) 
destination port: pan! (120) 
Sequence number: Gf (relative sequence number) 
{next sequence number: 68. (relative sequence nuwber)] 
Acknowledgement number: 983 {relative ack number) 
Header lemgrh: 20 bytes 
Flags: Ox0018 (Poi, Ace) 
Teas eere a Congestion window Reduced (CM): Wat set 
SEE Now ser 
Urgent: vot set 
Acknoviedguent! set 
Push: set 
Syn: et see 
Inl Ie D dmi met see 
window size: 15578 
Checksum: Qeidec (correct) 
日 PE analysis) 
This is an ack to tae segment in frame: S0] 
[the ert to ack the segment was: 0. 000848000 seconds] 
Erost office rotocsl 
Sau 


109: fa 32 97 a io 08 00 <5 00 
90 2e 25 3f 40 a de 06 OF ca Sc 
BEERTA $8 sf Se Se So $5 
SE da Sd be Dd EES 
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[E Internet Protocol, src adi: 202.108,44.152 (202,108,«4,152), Ost Addr: 10,214.6.15 (10.214,6.15) 
Version: 4 
Header length: 20 bytes 
Eipffferentisted Services Field: 0x00 (DSCP 0x00: Default; ecn: 0x00) 
0000 00.. = Differentiated Services codepoint: Default (0x00) 
tere mÔ. - ECN-CapaoTe Transport (ECT): O 
LN INe > sewer 3 
Total Length: 55 
Identification: oxe90z (39650) 
Flags: oxos (Don't rragnent) 
D eserved bit: Not set 
sii! = bon't frageent: set 
740, = More Fragments! Mot set 
Fragment offset: 0 
Time to Vive: S1 
Protocol: TCP COx06) 
Header checksum: 0x56d5 Ccorrect) 
Source: 202.108.44.152 (202.108.44.182) 
Destination: 10.214.6.15 210.214.6.1) 
e Transmission contro] Protocol, sre Port: pops (110), Ost Port: 1718 (1718), Seq: 983, Ack: 
Source port: pop3 (110) 
Destination port: 1718 (1718) 
Sequence number: 983 — (relative sequence number) 
[Next sequence number: 998 (relative sequence number)] 
Acknowledgement number: 68 (relative ack number) 
Meader length: 20 bytes 
EiFlags: 0x0018 (PS, ACK) 
Congestion window Reduced (cw): Not set 
RCM-Echo: Not set 
Urgent: vot set 
Acknowledgment: ser 
Push: set 
EDGE 
window sias 
Checksum: Oxe6F2 (correct) 
m [seq/ack analysis] 
[thts is an ack to toe segment in frame: 51] 
[the RTT tO ack the segment was: 0.048898000 seconds] 
apost office protocol 
目 +ok core mii ve 
Response: 40x 
Response Arg: core ml 


SER FEFEFE] 
e6 f2 00 4b 20 63 6f 72 65 


EE 


202.108,44.152 30.214.615 ei 40k core mat] 
19.788425 。 10.214.513 202,108. 44.157 Request: QUIT 
19.837123. 202.108.44.152 Response: +K core mail 


19.838951 202.08. 44.152 10.214.6.1* ops > 1718 (FIN, ACK] Seqr998 ACK-68 wines. 
19.839007 — 10.214.513 202.108, 44.157 1718 > pops [ck] seqe69 Ack-999 winel5:63 Li 
203.408. 44.152 30.314.615 Pop > 1718 [ACK] Seq-999 ack69 win-SB4O Lei 


Version: 4 
Meader length: 20 bytes 
Gotfrerentiated Services rleld: 0x00 (DSCP 0x90: Default; ECN: 0x00) 
0000 00.. = pifferentated services codepoint: Default (0x00) 
tees esd T EcNCapaaTe Transport CECT): O 
IDOL = sence D 
Total Length: 40, 
Identification: Ox2540 (9536) 
Flags: Ox04 (Don't rragwent) 
Ores = Reserved bit: Not set 
l pon'c fragment: set 
Il. D cra fragments 
Fragment offset: 0 
Tine to Vive: 128 
Protocol: TcP (0x06) 
Meader checksum: Oxcdas (correct) 
Source: 10.214.6.15 (10,214-6.15) 
Destination: 202:108.44.152 (202.108.44.152) 
E Transmission control Pratacol, Src Port: 1718 (1718), ost Port: pop3 (110), Seq: 68, Ack: 998, Len: 
Source port: 1718 (1718) 
Destination port: pops (110) 
Sequence rumber: 68 — (relative sequence number) 
Acknowledgement number: 998 (relative ack number) 
Header length: 20 bytes 
日 Flags: 0x0011 (FIM, ACK) 
©. Congestion window Reduced (Cw): Not set 
ECM-ECho: Not set 
Urgent: wot set 
Acknowledgment: set 
Push: Not set 
ln. ila aimi Set 
window size: 15563 
Checksum: 0x0527 (correct) 
B [sen/cx. analysis] 
[This is an ack to toe segment in frame: 52] 
[the ert to ack the segment was: 0.000273000 seconds] 


Ti a2 br FF 00 G0 Gs a? @ 1s 08 00 4$ 00 
25 40 40 00 80 06 cd 4S Os dé 06 OF ca 6c 
EIE So 38 Se se se $5 £0 SF 
95 27 00 
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.787577 202.208, 44.252 30.214.615 Response: vor 
788425 10.214.913 202.108. 44.152 Request: QUIT 
.837123 202,108, 44,152 30.214.6.15 Response: 30K core mat] 
.837596 10.214.513 202.108. 44.152 1718 > pops [FIN, ACK] seq-68 Ack=998 win- 
-839017 202,108, 44.157 1718 > pops [ack] seqr69 Ackr999 wincl15s63 L 
554742 30,314.6.35 — Pops > 1718 [ACK] Seq-999 Ack~69 win=5840 Lei 


Ti 
一 一 


[E internet protacal, sre AGE: 202.108.44.152 (202.108.¢4.452), Dit Addr: 10.214.6.15 (10.214.6.15) 
Version: 4 
Header length: 20 bytes 
日 bffferenr1ared Services rleld: 0x00 (DscP 0x00: Default; ecn: 0x00) 
000 00.. = Differentiated services codepoint: befault (0x00) 
reve eU. ECN-Capale Transport (ECT): O 
ILU Ie s ecce: D 
Total Lengeh: 40 
Identification: Oxe903 ($9681) 
Flags: 0x04 (Don't Fragnent) 
Gree = Reserved bit: Nor set 


SLL! I bon t fragment: set 
1.0. ~ More fragments: Not set 
Fragment offset: 0 
Time to Mver Si 
Protocol: TCP (x06) 
Header checksum: Oxi6e3 (correct) 
Source: 202.108.44.152 (202.108.44.152) 
Destination: 10.214.6.18 (10.214.6.15) 
e transmisston contro} Protocol, sre Port: pop3 C110), bst Port: 1718 (1718). Seq: 998, Ack: 68, Len: 0 
Source port: pop3 (110) 
Destination port: 1718 (1718) 
Sequence rumber: 998 — (relative sequence number 
Acknowledgement number: 68 (relative ack number) 
Header length: 20 bytes 
B Fags: 0x0011 (FIN, ACK) 
9. Congestion window Reduced (CWR): Not set 
ECM-Echo: wot set 
Urgent: wot 
> Acknowledgment! set 
7 push: wot set 
7 Reset: not set 
> syn: wot set 
DING D imp set 
window size: 5840 
Checksum: Ox2b22 (correct) 
 [seqyack. analysis] 
[the RTT tO ACK the segment was: 1091704665.191214000 seconds] 


Tn Ta SP 07 TT 08 00 3$ 0 
$9 03 40 00 33 08 $6 e ca Sc 2c 98 Ga O6 
00 be 05 be a8 SF Ge 45 Se be ad 26 50 11 
3B 22 00 00 00 00 00 00 00 00 


[ee 
TY ET TO TT TUT 
52 19.837123 — 202.108.44.152 30.214.6.15 Response: sok core matl 
5319.837596 10.214.913 202.108. 44.157 1718 > popi [FIN, ACK] Seqe68 Ack=998 winels 
54 19.538951 203.108. 44.152 30.214.615 3 > 1718 [FIN, ACK] Seq-998 ACK-68 wine$B. 


$6 19.884742 — 202. n 30.214.6.15. 
57 20.000669 $ Spanningtri 


[E Internet Protocol, src adi: 10.214.5.15 (10.214.6.15), Ost addr: 202.108.44.152 (202.108.4152) 
Version: 4 
Meader length: 20 bytes 
Eipffferentiated Services rleld: 0x00 (pscP 0x00: Default; ECN: 0x00) 
0000 00.. = olfferent{ated services codepoint: Default (0x00) 
seve 20, 2 ECNACapanle Transport CECT): 
IID IN ROecki > 
Total Length: 40 
Identification: Ox2541 (9537) 
Flags: Ox04 (Don't Fragnent) 
Ores = Reserved bit: Mot set 
si! pont fragment: set 
Ilü. I Mora fragmenti: Not set 
Fragment offset: 0 
Tine to live: 128 
Protocol: rep (0x06) 
Meader checksum: Oxcdat (correct) 
Source: 10,214.6.15 (10.214.615. 
Destination: 202.108.44.152 (202.108.44.152) 
e transmission Control Protacol, Src Port: 1718 (1718), ost Port: pop3 (110), Seq: 49, Ack: 999, Len: 0 
Source port: 1718 (1718) 
Destination port: pops (110) 
Sequence number: 69 (relative sequence number) 
Acknowledgement number: 999 — (relative ack number) 
Meader Tength: 20 bytes 
日 Flag5: 0x0010 (ACK) 
D = Congestion window Reduced (CWR): Not set 


'0x0526 (correct) 
B [sen/Acx analysis] 
[thts is an ACK to tae segment in frame: 54] 
[the art to ack the segment was: 0.000066000 seconds] 
Da ta a2 br PF 00 0 Os 320219 08 00 4300. - 
28 25 41 40 00 80 06 cd 45 Oa dé 06 OF ca 6c 
58 08 bs 00 Se 9c ba sd 27 a sf 6c 45 30 10 
fb 05 26 00 00 
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os 
BIRO 


Nt; Ec: 0x00) 
E Defaut (00) 


0), bst Port: 1718 (1718), seq: 999, ack: 69, Len: 


9.2 SMTP 协议 


发 送 电子 邮件 用 到 的 就 是 SMTP 协议 。 当 发 送 一 封 邮 件 时 ,假设 用 户 的 邮件 地 址 是 
zhangsan@domainl. edu. cn ,发 送 到 lisi@domain2. edu. cn ,那么 这 封 邮件 首先 通过 SMTP 
协议 发 送 到 本 地 邮件 服务 器 mail, domainl. edu. cn ,本 地 邮件 服务 器 mail. domainl. edu. cn 
根据 收 到 的 邮件 中 的 目标 邮件 地 址 lisi@ domain2. edu. cn 向 DNS 查询 域 domain2. edu. cn 
中 MX 记录 来 获得 该 域 中 的 邮件 服务 器 地 址 ,然后 , mail. domainl. edu. cn 和 mail. 
domain2. edu. cn 之 间 建 立 TCP 连接 ,通过 SMTP 协议 传输 ,这 样 ,就 完成 了 邮件 从 发 送 方 
到 接收 方 的 传递 过 程 ,邮件 存储 在 mail. domain2. edu. cn 中 等 待 用 户 接受 。 

从 上 面 的 邮件 传递 过 程 可 以 看 到 ,SMTP 工作 有 两 种 情况 : 一 是 电子 邮件 从 客户 机 传 
输 到 服务 器 ; 二 是 从 某 一 个 服务 器 传输 到 另 一 个 服务 器 。 文 件 RFC821 规定 了 该 协议 的 所 
有 细节 。 

SMTP 是 个 请 求 /响应 协议 ,命令 和 响应 用 NVT ASCI 字符 ,并 以 CR 和 LF 符 结 束 。 
响应 包括 一 个 表示 返回 状态 的 三 位 数字 代码 ,SMTP 在 TCP 协议 25 号 端口 监听 连接 请 求 。 

图 9-27 为 SMTP 的 通信 模型 示意 图 。 

从 图 9-27 可 以 看 到 SMTP 协议 在 发 送 SMTP 和 接收 SMTP 之 间 的 会 话 是 靠 发 送 
SMTP 的 SMTP 命令 和 接收 SMTP 反馈 的 应 答 来 完成 的 。SMTP 协议 对 每 一 个 命令 都 会 
返回 一 个 应 答 码 ,应答 码 的 每 一 个 数字 都 是 有 特定 含义 的 ,如 第 一 位 数字 为 2 时 表示 命令 成 
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用 户 / 文 件 系统 文件 系统 


SMTP 命 令 
RUE 
图 9-27 


接受 SMTP 


功 ,为 5 表 失 败 。 一 些 较 复 杂 的 邮件 程序 利用 该 特点 ,首先 检查 应 答 码 的 首 数字 ,并 根据 其 
值 来 决定 下 一 步 的 动作 。 
SMTP 的 应 答 码 序列 如 下 : 
211 系统 状态 或 系统 帮助 响应 
214 帮助 信息 
220 一 domain 过 服务 就 绪 
221 <domain>Ik% XA 
250 要求 的 邮件 操作 完成 
251 用 户 非 本 地 ,将 转发 向 二 forward-path 二 
354 开始 邮件 输入 ,以 “. ”结束 
421 所 domain 过 服务 未 就 绪 , 关 闭 传输 信道 
450 ”要求 的 邮件 操作 未 完成 ,邮箱 不 可 用 
451 放弃 要 求 的 操作 ; 处 理 过 程 中 出 错 
501 参数 格式 错误 
502 ”命令 不 可 实现 
503 错误 的 命令 序列 
504 ”命令 参数 不 可 实现 
550 要求 的 邮件 操作 未 完成 ,邮箱 不 可 用 
551 ”用户 非 本 地 ,请 尝试 二 forward-path 二 
553 邮箱 名 不 可 用 ,要 求 的 操作 未 执行 
554 操作 失败 
SMTP 基本 命令 集 如 表 9-2 所 示 。 


表 9-2 SMP 基本 命令 集 
命令 d xk 


发 件 方 问候 收 件 方 ,后 面 跟 的 是 发 件 人 的 服务 器 地 址 或 标识 。 收 件 方 回答 OK 时 标识 自己 的 
身份 。 问 候 和 确认 过 程 表 明 两 台 机 器 可 以 进行 通信 ,同时 状态 参量 被 复位 ,缓冲 区 被 清空 


用 来 开始 传送 邮件 , 它 的 后 面 跟随 发 件 方 邮 件 地 址 (返回 邮件 地 址 )。 它 也 用 来 当 邮 件 无 法 送 
达 时 ,发 送 失败 通知 。 为 保证 邮件 的 成 功 发 送 ,发 件 方 的 地 址 应 是 被 对 方 或 中 间 转 发 方 同意 接 
受 的 。 这 个 命令 会 清空 有 关 的 缓冲 区 ,为 新 的 邮件 做 准备 


mail from; 


MAIL 
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续 表 
命令 fi 述 
这 个 命令 告诉 收 件 方 收 件 人 的 邮箱 。 当 有 多 个 收 件 人 时 ,需要 多 次 使 用 该 命令 ,每 次 只 能 指明 
一 个 人 。 如 果 接 收 方 服务 器 不 同意 转发 这 个 地 址 的 邮件 , 它 必 须 报 550 错误 代码 通知 发 件 方 。 
如 果 服 务 器 同意 转发 , 它 要 更 改 邮 件 发 送 路 径 , 把 最 开始 的 目的 地 (该 服务 器 ) 换 成 下 一 个 服 
务 器 。 
收 件 方 把 该 命令 之 后 的 数据 作为 发 送 的 数据 。 数 据 被 加 入 数据 缓冲 区 中 ,以 单独 一 行 是 
DATA | 过 CRLF>. 二 CRLF 二 的 行 结束 数据 。 结 束 行 对 于 接收 方 同 时 意味 着 立即 开始 缓冲 区 内 的 数 
据 传 送 ,传送 结束 后 清空 缓冲 区 。 如 果 传 送 接受 ,接收 方 回复 OK 
VRFY | 用 于 验证 指定 的 用 户 / 邮 箱 是 否 存 在 
EXPN | 验证 给 定 的 邮箱 列表 是 否 存 在 ,扩充 邮箱 列表 , 常 被 禁用 
HELP | 查询 服务 器 支持 什么 命令 
NOOP | 这 个 命令 不 影响 任何 参数 ,只 是 要 求 接收 放 回答 OK, 不 会 影响 缓冲 区 的 数据 
SMTP 要 求 接收 方 必须 回答 OK, 然 后 中 断 传输 ; 在 收 到 这 个 命令 并 回答 OK 前 , 收 件 方 不 得 
中 断 连接 ,即使 传输 出 现 错误 。 发 件 方 在 发 出 这 个 命令 并 收 到 OK 答复 前 ,也 不 得 中 断 连接 
这 个 命令 用 来 通知 收 件 方 复位 ,所 有 已 存 入 缓冲 区 的 收 件 人 数据 ,发 件 人 数据 和 待 传送 的 数据 
都 必须 清除 ,接收 放 必 须 回答 OK 


RCPT 


QUIT 


RSET 


一 封 邮件 的 发 送 要 经 过 好 几 次 传递 ,建立 好 几 次 SMTP 会 话 , 接 下 来 看 SMTP 会 话 是 
如 何 建立 的 : 

(1) 建立 TCP 连接 。 

(2) 客户 端 发 送 EHLO 命令 以 标识 发 件 人 自己 的 身份 ,然后 客户 端 发 送 MAIL 命令 ， 
服务 器 端 以 OK 作为 响应 ,表明 准备 接收 在 EHLO 命令 之 后 ,接着 电子 邮件 程序 会 发 送 
MAIL 命令 。MAIL 命令 标识 出 发 送 者 , 它 有 两 个 参数 “FROM:” 和 一 个 电子 邮件 地 址 。 如 
HE SMTP 服务 程序 能 够 成 功 地 解析 电子 邮件 地 址 的 话 , 通 常 它 将 返回 以 250 开头 的 回应 消 
息 ; 否则 将 发 送 回 表示 操作 失败 的 回应 消息 。 

COD 客户 端 发 送 RCPT 命令 ,以 标识 该 电子 邮件 的 计划 接收 入, 可 以 有 多 个 RCPT 行 ， 
服务 器 端 发 回响 应 表示 是 否 愿意 为 收 件 人 接受 邮件 。 

(2) 协商 结束 ,发 送 邮 件 , 用 命令 DATA 发 送 。 

(3) DAS. ”表示 结束 输入 内 容 并 一 起 发 送出 去 。 

(4) 结束 此 次 发 送 , 用 QUIT 命令 退出 。 

下 面 看 一 个 SMTP 的 实例 。 

客户 端 和 服务 器 端 通过 TCP 三 次 握手 建立 TCP 连接 .如 图 9-28 所 示 服 务 器 端口 为 25。 

服务 器 端 发 送 响应 ,应 答 码 为 220, 表 示 服 务 器 准备 就 绪 , 如 图 9-29 所 示 。 

客户 端 发 送 EHLO 命令 ,表示 开始 SMTP 会 话 , 如 图 9-30 Bros. 

注意 : EHLO 命令 是 扩展 SMTP 命令 集中 的 一 个 命令 ,支持 SMTP 服务 扩展 的 客户 
应 该 以 EHLO 命令 开始 SMTP 会 话 , 而 不 是 通常 的 HELO 命令 。 如 果 服 务 器 也 支持 , 那 就 
返回 确认 响应 ,如 果 不 支 持 就 返回 失败 响应 。 因 为 引入 了 EHLO 命令 ,因此 会 话 开始 的 第 
一 条 命令 可 以 是 HELO 或 EHLO。 

服务 器 端 返回 SMTP 响应 ,应 答 码 为 250, 表 示 请 求 建立 的 邮件 服务 会 话 已 经 就 绪 , 如 
图 9-31 所 示 。 
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10.214.6.15 Smtp > 1686 [SYM, 

11941253 — 10.214.9.15 202.108.44.206 c 1686 > smtp [ACK] seq-l Ackel win=1 

21001032 202.108. 44.206 10.214.6.15 Response: 220 coremall sMTP(Ant! Sp. 

2.007909 — cisco fá:23:df Spanning-tree-(for-br Conf. Root = 32768/00:0a:f4:32:b4:0. 

21048157 — 10.214.5.15 202.108. 44.206 ‘Command: EHLO DEM 

2.099303  202.108.44.206 10.214.6.15 ‘smtp > 1686 [ACK] Seq-57 Ack=12 win 

2.106550 202.108.44.206 10.214.6.15 Response: 230-192.168.1.208 

2.108183 10.214.5.15 202.108. 44.206 

2.164778 — 202.108.44.206 10.214.6.15 334 VN1cn5hbwu6 

2.165087 10.214,5.15. 202.108. 44.206 Message Body 
T 


E Transmission Control Protocol, sre Port: 1686 (1686), Ost Port: smtp (15), Seq 0, Ack: O, Len: O 
Source port: 1686 (1636) 
Destination port: smtp (25) 
Sequence number: 0. (relative sequence number) 
header length: 28 b 


Congestion window Reduced (CWR): Mot set 
ECN-Echo: Mot set 
Urgent: wot set 
Acknowledgment: Not set 
Push: Not set 
Reset: Not set 
syn: Set 
Tit 110 = Fin: Not set 
window size: 16384 
Checksum: Oxcb43 (correct) 
Boptions: (8 bytes) 
Maximum segment size: 1460 bytes 
Nop 
nor 
SACK permitted 


[xn B7 FF 00 $0 08 BF di 
90 30 40 00 80 06 ce 95 Oa 
2c ce 00 19 99 38 cf 66 00 
40 00 00 00 02 04 65 bs Ql 


EZIZ 


aj eomz g] 


[ove Ce jus 
10.714.517 202 10874-2108 Ter 1686 > smtp [Sr] eqno Ackeü win163 LE | 
202:108.44.206 10:14.6.13 TCR smtp > 1686 (syn, ACK] seqed Ackel vin-tB4O | 
10-212 15 203-109. 44.208 Top 1685 > smtp [Ac] Seqel AcK-1 winni6560 Lena! 


red) 
00:60:08:82:42:19 
E internet Protocol, sre Adde: 202.108.44.206 (202.108.¢4,206), Ost Adde: 10.214.6.15 (10.214.6.15) 
Version: 4 
Header length: 20 bytes 
Eipffferantiated Services rield: 0x00 (pscp 0x00: pefault; ECN: 0x00) 
0000 00.. = pifferentated Services codepoint: Default (0x00) 
+ sO.  ECM-Capajle Transport CECT): O 
IDILO Eee: 
Total Length: 96 
Identification: 033562 (13666) 
日 Fiags: oxos (Don't Fragrant) 
O... = Reserved Bit: Not set 
MIDI bon t fragment: set 
.0. ~ more fragmenti: wot set 
bragnene offser: © 
Time to liver 51 
Protocol: YeP (0x06) 
Header checksum: OxQa17 (correct) 
Source: 202.108.44.206 (2 


ost Port: 1686 (1686), Seq: 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence rumber: 1 — (relative sequence number) 
[Next sequence number: 57 — (relative sequence number)] 
Acknowledgement number: 1 (relative ack number) 
Meader length: 20 bytes 
日 F1a95: O18 (PSH, ACH) 
“tees = Congestion window Reduced (Cwm): wot set 
urgent: 
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</9] [7/2] QISIa EZ HE: ESI] 
| 


099303 — 202.108.44.206 smtp > 1686 [Ack] Seq-57 Ack=12 win=5640 Len: 
10650 202,108.48. 206 3 + 230-192.168.1.208 


í— 


-15 (10.214.6.15), DSt Addr: 202.108.44.206 (202.108.44.206) 
Version: 4 
Header length: 20 bytes 
differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
(0000 00.. = Different fated Services codepotnt: Default (0x00) 
reer eU = EcN-Capasle Transport CECT 
II Ie eee: 3 
Total Length: s1 
Identification: 0x2415 (9237) 
Flags: Ox04 (Don't Fragnent) 
Q... - Reserved bit: Not set 
ALD bent frageent 
2.0. = more fragmenti 
Fragment offset: 0 
Time to ve: 128 
Protocol: rep (x06) 
Meader checksum: Oxce90 Ccorrecr) 
Source: 10,214.6.15 (10.214.6.15) 
Destination: 202.108.4.206 (202.108, 44.208) 
|p Transmission control Protocol, sre Port: 1686 (1686), ost Port: smtp (25), Seq: 
Source port: 1586 (1696) 
Destination port: smtp (25) 
Sequence rumber: 1 — (relative sequence number) 
[Next sequence number: 12 ^ (relative sequence number)] 
Acknowledgement number: $7 “(relative ack number) 
Header length: 20 bytes 
BiFlags: O(18 (PSM, ACK) 
Ores Congestion window Reduced (Cw): Not set 
EN ECM-Echo: wot ser 
: Urgent: Vot set 
Acknowledgment: set 
Push: set 
Reset: not set 
Syn: Not set 
Trin: mot set 
16504 
Checksum: 0x0859 (correct) 
B [SEQ/ACK. analysis] 
[this is an ack to tre segment tn frame: 5] 
[the RTT to ack the segment was: 0.047125000 seconds] 
le simple mat] Transfer Protocol 
ElComand: EMLO DONO Vn 
‘Command: EMLO 
Request parameter: ba 
90 0a Te 35 bY FF 00 60 
98 $3 24 35 40 90 80 ve 
2e ce 06 96 00 19 99 a6 
AG 78 08 59 00 00 43 48 


‘otal Length: 143 
Idaneificatton: Ox3564 (13668) 
EiFlags: 0x04 (Oon't Fragnent) 
Ores = Reserved bit: mot set 
MID con't fragment: set 
1.0. ~ More fragments: Not set 
Fragnent offset: O 
Time to live: i 
Protocol: TC (0x06) 
Meader checksum: Ox09e6 (correct) 
Source: 202.108. 44.206 (202.108..44.206) 
Destination: 10.214.6.15 (10. 214.6.15) 
le transmission Contro! Protocol. sre Port: smtp (25), Dst Port: 1686 (1686), Seq: $7. Ack: 12, Len: 103 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence rumber: $7 relative sequence number) 
[ext sequence number: 160. Crela:ive sequence number)] 
acknowledgement number: 12 relative ack number) 
header length: 20 bytes 
ElFlags: 0x0018 (PSH, ACK 
Gree eee. = Congestion window Recuced (CwR): wot set 
ECN-Echo: wot set 
urgent: vot set 
Acknowledgment: set 


Chectrus: Bon (correct) 
stop sa TI Transfer proton 
repens: SUID 108p E DOG 
rd code: 350 
Response parameter: 192.108.1.20€ 
nt T-PIPELINTAO V 
Response cider 230 
Resporet parameter: PIPELIMING 
nt 2S0 LOGIN PLAIN TUA VY 
pe coder 250, 
Response parameter: AUTH LOGIN PLAIN run 
anespornes T-AUTILAGIN PLAIN TONAN 
opens coder 238 
Response parameter: AUTYeLOGIN PLAIN NTUN 
nap 250 SETTMINC VY 
eese cud 230 
SSP Perasta": Detinine 
aS TS Te 
PEEFREPRI 
Se of 00 £8 08 98 20 03 
$8 95 99 26 09 G0 32 3s 
38 2e Hi 2e 22 30 36 og 
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出 于 安全 的 考虑 ,SMTP 服务 器 要 求 发 送 邮件 时 ,对 发 送 者 进行 身份 认证 ,客户 端 发 送 
AUTH LOGIN 命令 ,如 图 9-32 所 示 。 


Port: smtp (25), seq: 12, Ack: 160, Len: 


to the segment ir frame: 9] 
Nt was: 0.001633000 secor 


图 9-32 


服务 器 返回 应 答 ,应 答 码 为 334, 还 可 以 看 到 一 些 用 base64 编码 的 字符 串 文本 ,该 字符 
串 的 意思 为 username, WA 9-33 所 示 。 

注意 : 对 于 LOGIN 方式 认证 ,其 实 就 是 将 用 户 名 与 口令 用 base64 进行 编码 ,根据 服务 
器 的 要 求 , 分 别 发 出 即 可 。 

接 下 来 客户 端 发 送 用 base64 编码 的 用 户 名 给 服务 器 ,如 图 9-34 所 示 。 

服务 器 发 回响 应 ,响应 码 为 334, 同 时 返回 base64 编码 串 , 意 思 为 password, 如 图 9-35 
所 示 。 

客户 端 发 送 用 base64 编码 的 密码 给 服务 器 ,如 图 9-36 所 示 。 

服务 器 端 发 送 TCP 确认 ,如 图 9-37 所 示 。 

服务 端 返 回 码 为 235 ,表示 认证 成 功 可 以 发 送 邮 件 了 ,如 图 9-38 所 示 。 

客户 端 发 送 “MAIL FORM: “命令 用 来 告诉 服务 器 发 送 者 的 邮件 地 址 ,如 图 9-39 
所 示 。 

服务 器 返回 一 个 TCP 确认 ,如 图 9-40 所 示 。 

服务 器 返回 SMTP 响应 ,应 答 码 为 250 ,表示 操作 成 功 ,服务 器 就 绪 , 如 图 9-41 所 示 。 

客户 端 用 “RCPT TO: ”命令 来 指定 邮件 接收 者 的 邮件 地 址 ,如 图 9-42 所 示 。 

服务 器 返回 SMTP 响应 ,应 答 码 为 250 ,表示 操 作成 功 ,服务 器 就 绪 , 如 图 9-43 所 示 。 
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12 2.165047. 


[E Internet Protocol, sre adie 
Version; 4 
Header length: 20 bytes 
Eibifferentisted Services Field: 0x00 (OSCP 0x00: Default; ECM: 0x00) 
0000 00.. = offferenttated services codepoint: pefault (000) 
tone mÔ, = EcN-capale Transport (ECT): O 
TIN Iio ER 
Tota] Length: 58 
Identification: 013565 (13669) 
Flags: Ox04 (Don't Fragnent) 
Ores = Reserved bit: ot set 
sill Don't frageent: set 
710. I More fragments: Not set 
Fragnent offset: 中 
Tine to live: Sl 
Protocol: TCP (0x06) 
Header checksum: Ox0a3a (correct) 
Source: 202.108.44.206 (202,108. 44.206) 
Destination: 10.214.6.15 (10,214.6.15) 
e transmission contro] Protocol, src Port: smtp (25), ost Port: 1685 (1686), seq: 160, Ack: 24, Len: 18 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence number: 160 — (relative sequence number) 
[next sequence number: 178 (relative sequence numbec)] 
Acknowledgement number: 24 (relative ack number) 
Header length: 20 bytes 
Flags: 0x0018 (PSH, ACK) 
Ones 


Urgent: vot set 
Acknowledgment: Set 
Push: set 

Reset: Not set 


window ste: 5840 
Checksum: Ox182d (correct) 
目 [sEQAAcK analysis) 
[hts 15 an ack to tne segment ir frame: 10] 
[the art to ack the segment was: 0.056595000 seconds] 
a simple mat) Transfer Protocol 
‘Response: 334 VXM1anShbwu6NrNn 
Response code: 334 
Response parameter: Volcm5hbwu5 


74-32 DY FF 08 00 at DO 
Oa 3a ca 6c 2c ce Oa dé 
7t 3b 99 a8 cf Fe 50 18 
34 20 56 38 se 6c 63 êd 


EEEREZL CNET EET NETT EESE 5 acsnnnne: uà IETS 


[S Frame 12 (7? bytes on wire, 72 bytes captured) 
B Ethernet Ir, src: 00:60:03:82:42:19, ost: 00:0a:f4:32:b7:ff 
[B interner Protocol, sre Adie: 19.214.615 C10.214.6.15), Det Addr: 202,108.44.206 (202.208.44,206) 
Header length: 20 bytes 
Epffferentiated Services rleld: 0x00 (DSCP 0x00: Default; ecn: 0x00) 
0000 00.. = Differentiated services codepoint: Default (0x00) 
reer eU = ECN-capale Transport (RET): O 
TIN INo 2 sewer’) 
Tota Length: 58 
identification: Ox2417 (9239) 
EiFlags: Oxot (Don't rragnent) 
Ores = Reserved bit: or set 
sit pont fragment: set 
1.8. > Mora fragmenti 
Fragment offset: © 
Tine to Vive: 128 
Protocol: TCP (0x06) 
Header checksum: Oxce8? (correct) 
Source: 10,214.6.15 (10.214.615) 
Destination: 202.108.44.206 (202.108,44. 206) 
[E transmission control Protocol, sre Port: 1686 (1686), ost Port: smtp (25), Seq: 24, Ack: 178, Len: 18 
Source port: 1686 (1686) 
Destination port: smtp (25) 
Séquence rumber: 24 . (relative sequence number) 
[next sequence number: 42 (relative sequence number)] 
Acknowledgement number: 178 (relative ack number) 
Header length: 20 bytes 
日 Flags: 0x0018 (Psn, ACK) 
Os case = Congestion window Reduced (CR): Wot set 
Ech-Echo: NOt set 
Urgent: vot set 
Acknowiedgnent: set 


cH 
window size: 16383 
Checksum: 0x6678 (correct) 
目 [sEQyacx analysis} 
[thts 15 an ack to tae segment in frame: i1] 
[the art to ack the segment was: 0.000309000 seconds] 
E single mat] transfer protocol 
Message: davzdaTuzlotvwls Vn 


DO Ga fa SE o7 FF 00 50 
90 3a 24 17 40 90 80 06 
2e ce 06 96 00 19 99 a6 
SF ff 6 78 00 00 64 17 
39 74 59 57 6c 73 0d oa 
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Fie ER Vew Go Cote Ansen Sites Hdp 


BABS || [F 2) Qa aj 
jte 
— = pez 


Ta 9.290197 102014: 5.15 20) 3108.44.70, Man 
IET 
[E interner Protocol, src adir: 202.108.44.206 (202.108.<4.206), Dst addr: 10.214.6.15 (10.214.6.15) 
Version: 4 


Header length: 20 byt 
Eipifferentiated Services Field: 0x00 (pscP 0x00: pefault; ecn: 0x00) 
0000 00.. = Differentiated Services codepoint: Default (0x00) 
reer eU © EcN-Capasle Transport (ECT): O 
IND INe S eeweet o 
Total Length: 58 
Identification: 0x3566 (13670) 
Flags: 0x04 (Don't Fragnent) 
Gres - Reserved bit: or set 
si. I don't fragment: set 
1.8. 7 more fragments: Not set 
Fragment offset: O 
Tine to Vive: 51 
Protocol: TCP COx06) 
Header checksum: 0x0a39 (correct) 
Source: 202.108. 44.206 (202.108. 44.208) 
Destination: 10.214.6.15 Q0. 214.6.15) 
E transmission control Protocol, sre Port: stp (25), ost Port: 1686 (1686), Se 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence number: 178 (relative sequence number) 
[Next sequence number: 196 (relative sequence number)] 
Acknowledgement number: 42 (relative ack number) 
Header length: 20 byt 
Flags: 0x0018 (PS, ACK) 
Ores eee. = Congestion window Reduced (Cw): mot set 
H ECM-Echo wot set 
Urgent: wot set 
7 acknowledgment: set 
> push: set 


178, Ack: 42, Len: 18 


syn: wot set 


NONE: 
window size: 5840 
Checksum: 0xf521 (correct) 

日 [sEayacx analysts) 
[this 15 an ack to tre segment in frame: 12] 
[the RTT to ack the segment was: 0.034759000 seconds] 
le simple mat) transfer Protocol 
‘Response: 334 UGFzc3dvcn36VNn 
Response code: 334 
Response parameter: Jorzcidvomqs 


E 


Not set 


0 Oe a3 00 
40 00 33 06 Qa 39 ca ec 2c ce Oa dé 
Qe 9e 20 09 7f 4d 99 a6 cf 90 50 18 
90 0033 33 34 20 55 47 46 7a 63 3i 
51 36 0d Oa 


ECE LA 


CEES ETS TEE TTG EDEN mn > LAAR AC] Scenelon acka Yn wine SRAN Lil A 


[S Frame 14 (65 bytes on wire, 65 bytes captured) 
B Ethernet Ir, sre: 00:60:03:82:d2:19, ost: 00:0a:f4:32:b7:ff 
[B nternet erococol, sre Adi: 10.214.615 (10.214.6.15), Dst Addr: 20.108.44.208 (202.108.44,206) 
Header length: 20 bytes 
Eioffferentiated services Field: 0x00 (DSCP 0x00: Default; ecn: 0x00) 
0000 00.. = Dffferentated services codepoint: Default (0x00) 
+ esd, = ecw-capasle Transport (ECT): O 
TIN CR D 
ToraT Length: 54 
identification: Ox2418 (9240) 
EiFlags: Oxot (Don't Fragnent) 
Ores = Reserved bit: Nor set 
shit tont Fragment 
1.0. = more fragments 
Fragment offser: © 
Tine to Vive: 128 
Protocol: TEP (0x06) 
Header checksum: Oxcas (correct) 
Source: 10.214.6.15 (10,214.6.13) 
Destination: 202.108.44.206 (202.108.44.206) 
E Transmission control protocol, sre Port: 1686 (1686), pst Por 42, ack: 196, Len: 14 
‘Source port: 1686 (1686) 
Destination port: smtp (25) 
Séquence rumber: 42 — (relative sequence number) 
[Next sequence number: 56 — (relative sequence number)] 
Acknowledgement number: 196 (relative ack number) 
Header length: 20 bytes 
EiFlage: 0x0018 (pow, Ack) 
Que. sess = Congestion window Reduced (CR): Not set 
ECM-Echo: Not set 
Urgent: wot set 
Acknowledgment: set 
Push: Set 
Reset: Not set 


window size: 16365 
Checksum: Qx2826 (correct) 
[seQ/acx analysis] 
[thts is an ack to tae segment in frame: 13] 
[the RTT to ack the segment was: 0.000306000 seconds] 
[e simple Mai] Transfer rotacol 
Message: davidaluzweeV n 


Da fe 32 br FF 00 oo 
36 24 18 40 00 80 06 
ca 08 98 00 19 99 ag 

28 26 00 00 64 47 
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T Fa Ver Gs Cus Rame Soc fw 
ejm» [e| |>| [F 2| ala aj 
ann 
Tes p pm Pec Jes 


36 3.751570. 00n0000.00047/41»4c$6 noonnon.fffFfFFFFFff MATER Eind name <M ><O?> MERROW 072c01 > 4 
= 


[e Frame 15 (60 byt 0 bytes captured) 
I ethernet Ir, sre: f4:32:b7:ff, 0st: 00:60:08:82:42:19 
la Internet Protocol, src adir: 202.108.44.206 (202.108.24.206), Ost Addr: 10.214.6.15 (10.214.6.15) 
Version: 4 
Meader length: 20 bytes 
E pifferentisted Services Fiel 
‘0000 09. 


: 0x00 (pscP 0x00: pefault; EcW: 0x00) 
~ offferentfated services codepolnt: pefault (0x00) 
7 Ecw-capasle Transport (ECT): O 
à > ECNE: D 
Tota] Length: 40 
Identification: 0x3567 (13671) 
日 Flags: oxos (Don't Fragrant) 
Ores = Reserved bit: or set 
MID tont fragment: set 
Ò. = more fragments: wot set 
Fragment offset: O 
Tine to live: S1 
Protocol: TCP (x06) 
Header checksum: OxDa4i (correct) 
Source: 202,108.44. 200 (02.108. 44.200) 
Destination: 10.214.6.15 (10,214.6.15) 
E transmission control Protacol, src Port: smtp (25), ost Port: 1686 (1585), Seq: 196, Ack: 56, Len: 0 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence rumber: 196 (relative sequence number) 
Acknowledgement number: 56 — (relative ack number) 
Meader length: 20 bytes 
Flags: 0x0010 Qack) 
Ores eee. = Congestion window Reduced (CR): Not set 
ION RCM-&cho: NOT s 
Urgent: Not set 
Acknowledgment: set 
Push: Not set 
Reset: not set 
Syn: Not set 
IUD Ihe = Fimi mot set 
window size: 5840 
Checksum: 0x8188 (correct) 
B [sca/Acy. analysts) 
[thts 15 an ACK to toe segment in frame: 14] 
[the aTT to ack the segment was: 0.090630000 seconds] 


" 7 PONEI 
oolo oo 28 3 67 40 00 33 06 9a 43 ca ec 2c ce Ga 06 98:3 2.1... 

Joo20 0e oF 0019 06 96 20 09 7* SF 99 a6 cf e 5010 loses D 

Joo30 16 do 1 88 00 00 00 00 G0 09 00 00 

Fi val wis SERE er BUT [PSU S.T 


24 7.291723 — 10.224.919 5 Command: MAIL FROM: <testing mat 1@L63. com> 


E internet provocol, sre adi: 202.100.44.206 (101.109.44.200), Dit Addr: 10.214.6.15 (10.214.615) 
Verston: 4 
Header length: 20 bytes 
Eipifferentiated Service: rleld: 0x00 (DSCP 0x00: Default; ECM: 0x00) 
(0000 00.. = pifferentiated services codepoint: Default (0x00) 
tere eU. = EcN-Capaole Transport CECT): O 
11.8 > emce? 9 
Total Length: 7i 
Identification: Qx3568 (13672) 
Flags: Ox04 (Don't Fragnent) 
O... = Reserved bit: Not set 
MAIDT Don't fragment: set 
1.0. 2 More fragments: wot set 
Fragment offset: O 


TCP (0x06) 
Header chackeim: 0x0a23 Cenrracr 
Source: 202,108.44.206 (202.108. 44.206) 
Destination: 10.214.6.15 (10.214.615) 
[p Transmission control Protocol, sre Port: smtp (25), Dit Port: 1686 (1686), Seq: 196, Ack: 56, Len: 31 
‘Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence rumber: 196 (relative sequence number) 
[Next sequence number: 227 — (relative sequence nunber)] 
Acknowledgement number: 56 — (relative ack number) 
Meader length: 20 bytes 
EFlags: 0x0018 (PSH, ACH) 
Ores sere = Congestion window Reduced (CR): wot set 
ECN-Echo: wot ser 
Urgent: vox set 
Acknowledgment: set 
Push: set 


Checksum: Orf9ec (correct) 
[e simple mat) Transfer eratac] 
ElMesponse: 235 Authentication successful\r\n 
Response code: 235 
Response parameter: Authentication successful 


30-08 82 ar Tae br FF 08 00 43 00 
93 2a ca 6c 2c ce Qa 95 
HESEECEI] 
35 20 41 75 74 68 65 Ge 
20 73 75 63 63 65 73 73 


POP3 #1 SMT 


Version. 
Header length: 20 bytes 
Eipifferentiated Services Field: 0x00 (DScP 0x00: pefault; ecn: 0x00) 
0000 00.. = Differentiated Services codepoint: Default (0x00) 
reer eU © ECN-Capale Transport (ECT): O 
TIN IL < geweet'o 
Total Length: 75 
Identification: Ox2419 (9241) 
Flags: 0x04 (Don't Fragnent) 
Gres - Reserved bit: or set 
si. I don't fragment: set 
1.8. 7 more fragments: Not set 
Fragment offset: O 
Tine to Vive: 128 
Protocol: TCP COx06) 
Header checksum: Oxce74 (correct) 
Source: 10.214.6.15 (10.214.615) 
Destination: 207.108.44.206 (202.108, 44. 206) 
le transmission contri Prot3col, sre Port: 1686 (1686), ost port: smtp (25), Seq: 36, Ack: 227, Len: 35 
Source port: 1686 (1586) 
Destination port: smtp (25) 
Sequence rumber: 56 (relative sequence number) 
[ext sequence number: 91 — (relative sequence number] 
Acknowledgement number: 227 (relative ack number) 
Header length: 20 byt 
Flags: 0x0018 (PSH, ACK) 
ees Congestion window Reduced (cw): wot set 
H Een Echo: wot set 
Urgent wot set 
Acknowledgment: set 
Push: set 
syn: mot set 
ID IL 2n: mot set 
window size: 16334 
Checksum: Oxf See (correct) 
日 [sEayacx analysts) 
[this 15 an ack to tre segment in frame: 23] 
[the RTT to ack the segment was: 0.003453000 seconds) 
le stnple mat) transfer Protocol 
Elcawand: MATL FROM: «testing mai T6263. com\r\n 
Command: MAIL 
Request parameter: F20M: «testing mat T6163. com 


T T iso 5 
39 40 oo 80 06 9a d6 06 OF ca Sc 
$e 00 19 99 a6 30 09 F 7e 50 18 
ye 00 00 ad dl 30 46 $2 af 4a 38 
65 73 74 69 be bd at 69 Bc 40 32 
63 GF ed Se 0d 


ethernet Ir, src: 00:03:f4:32:b7:ff, Ost: 00:60:08:82:d2:19 
E internet Protocol, src Adde: 202.208,44.206 (202.108.4.206), Ost Adde: 10.214.6.15 (10.214.6.15) 
Version: 4 
Meader length: 20 bytes 
日 bffferenr1ared Services rleld: 0x00 (OSCP 0x00: oefault: EcN: 0x00) 
0000 00.. = pifferentated services codepoint: Default (0x00) 
eed, = ECM-Capaole Transport CECT): O 
IL Io = EEN-CE? 9 
Total Lengeh: 40. 
Identification: 0x3569 (13673) 
E Flags: Oxot (Don't Fragnent) 
O... - Reserved bit: mot set 
MIDI pent fragment; set 
1.0. 2 More fragments: Mot set 
Fragment offset: O 
Time to live: 51 
Protocol: TCh (0x06) 
Meader checksum: Ox0a48 (correct) 
Source: 202.108.44.206 (202.108.44.206) 
Destination: 10.214,6.15 (20. 214.6.15) 
la Transmission Control Protocol, sre Port sep (25), Dst port: 1686 (2686), Seq: 227, Ack: 9L, Len: O 
‘Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence rumber: 227 (relative sequence number) 
Acknowledgement number: 91. (relative ack number) 
Header length: 20 bytes 
Flags? O10 (Ack) 
O... vase = Congestion window Reduced (CR): Not set 
ECM-ECho: Not set 
Urgent: vot set 
Acknowledgment: set 
Push: Not set 
Reset: Not set 
Syn: Not set 
ILLDIL I Aini mot set 
window size: 5840 
Chacksum: Ox8145 (correct) 
E [se/Ack analysts] 
Ire de an ack to tre segment in frame: 24] 
: 0.050692000 seconds] 
oP is 00 0s Fa ST E] 
40 00 33 06 Oa 48 ca 6c 2c ce 0a dé 
Qc 96 20 09 7f 7e 99 a6 cf cl 50 10 
DO 00 00 00 00 00 0000 
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[S Frame 26 Cer bytes on wire, 62 bytes captured) 
e Ethernet I, sre: 00:01:f4:32:57:ff, Ost: 00:60:08:82:02:19 
[E internet protocol, sre adi: 202.108.44.206 (202.108.44,208), DSt Addr? 10.214.6.15 (10.214.6.15) 
Version: 4 
Header length: 20 bytes 
Eipifferentiated Services Field: 0x00 (pscP 0x00: pefault; ecn: 0x00) 
0000 00.. = Differentiated Services codepoint: Default (0x00) 
tere n.0. = BEN-CapaoTe Transport (ECT)? Ò 
TIN INe 2 Boece: 9 
Tota] Length: 48 
Identification: 0x356a (13674) 
Flags: 0x04 (Don't rragnent) 
0... = Reserved bit: Not set 
L1., = don't fragment 
1.0. ~ Mora fragments 
Fragment offset: 0 
Time to Vive: 51 
Protocol: TCP (0x06) 
Header chackeim: OxOaif Ceneracr) 
Source: 202.108.44.206 (202.108. 44.206) 
Destination: 10.214,6.15 (10,214..6.15) 
le Transmission control Protocol, sre Port: smtp (25), Ost Port: 1686 (1686), Seq: 227, Ack: 9L, Len: 8 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence number: 227 — (relative sequence number) 
[next sequence number: 235 — (relative sequence nunber)] 
Acknowledgement number: 91 (relative ack number) 
Meader length: 20 bytes 
Flags: 0x0018 (PSH, ACH) 
Gres eer Congestion window Reduced (CR): wot set 
= Ecncechor wot ser 
10 ILL T urgent: wot set 
DA INIT Acknowledgment: set 
IND GND I pusht set 
= syn: mot set 
IE INe J Fin: Not set 
window size: 5840 
Checksum: Oxc26b (correct) 
fE simpre mat) Transfer Protocol 


Response code: 230 
Response parameter: 
9o 30 35 6a 40 00 a 3f ca 6c 2c ce Qa d6 
98 OF 00 19 06 96 $F 7e 59 a6 cf ct SO 18 
16 do c2 6b 00 00 36 20 4f 8b 6d à 


Fi al wp RD OUTED 


[E interner Protocol, sre adi : 10.314.6.13 (10.214.6.15), Ost Addr: 202.108.44.206 (202.108.44. 206) 
Version: à 
Header length: 20 bytes 
Eipffferantiated Services rield: 0x00 Cpscp 0x00: pefault; EcN: 0x00) 
0000 00.. = offferentfated Services codepoint: Defau1r (0x00) 
tee eU. = ECN-CapagTe Transport (ECT. 
IM Ile 2 gcaccet 2 
Total Length: 75 
Identification: 0x2413 (9242) 
EFlags: Ox04 (Don't Fragnent) 
Ores = Reserved bit: Not set 
si., Con't fragment: Set 
+0. ~ more fragments 
Fragnent offset: 0 
Time to Vive: 128 
Protocol: TCP (x06) 
Header checksum: Oxca?* (correct) 
Source: 10.214.6.15 (10.214.615) 
Destination: 207.108.44.206 (202.108.44.206). 
[E Transmission contro] protocol, Sre Port: 1686 (1686), ost Port: smtp (25), Seq: 91, Ack: 235, Ler 


(relative sequence number) 
[Next sequence number: 124 (relative sequence nunber)] 
Acknowledgement number: 235 (relative ack number) 
Header length: 20 bytes 

Flags: 0x0018 (PS, ACH) 
O... sess = Congestion window Reduced (CR): Not set 
ECM-Echo: wot set 
Urgent: vot set 
Acknowledgment: set 
Push: set 
Reset: NOt set 
syn: Not set 
Fini Not set 
16326 
mafdt (correct) 
B [seq/ack analysts) 
[this fe an ack to tre segment in frame: 26] 
[the RTT to ack the segment was: 0.000348000 seconds] 

e simple matt Transfer Protocol 

Command: R-PT TO: «mati testü46echu, com>\r\n 
‘command: RCPT 
Request parameter: To: <mat1_testot@sohu. com> 


br ¥F 00 50 0S8: dL is 08 00 45 00 
40 00 80 06 ce 73 Oa d6 06 OF ca 6c 
00 19 996 cf ci 20 09 7f 85 30 18 
co Go $2 43 So SA 30 84 df 38 30 se 
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7.409157 — 10.214. 


MEE 


[e'interner Protocol, src adi: 202.108.4420 (202,108,44-208), Ost Addr: 10.214.0.15 (10.214,6.15) 
Version: 4 
Header length: 20 bytes 
Eipffferentiated Services Field: 0x00 Cosce 0x00: pafault; ecn: 0x00) 
000 00.. = Differentiated Services codepoint: Default (0x00) 
reer Capao1e Transport (ECT): O 
[Ne gcw-ckt 3 
Total Length: as 
Identification: 0x356b (13675) 
Flags: Ox04 (Don't Fragnent) 
O... = Reserved bit: NOt set 
Li., = bon't fragment; Set 
2.0. 7 more fragments: Not set 
Fragment offset: 0 
Time to live: 51 
Protocol: TCP (0x06) 
Header checksum: Ox0a3e (correct) 
Source: 202.108.44.206 (202.108. 44.206) 
Destination: 10.213.6.17 10. 244. 0.15) 
ei transmission Control protocol, sre Port: smtp (25), Ost Port: 1686 (1686), Seq: 235, Ack? 124, Lent B 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence number: 235 (relative sequence number) 
[Next sequence number: 243 — (relative sequence number)] 
Acknowledgement number: 124 (relative ack number) 
Meader length: 20 bytes 
Bus: ORIS rum AG) 
= Congestion window Reduced (CR): Not set 
ECM-Echo: Not set 
Urgent: wot set 
Acknowledgment: sec 
Push: set 
Syn: Not set 
Fin: mot set 


Checksum: Oxc242 (correct) 
B [en /Ack analysts] 
[This is an ack to toe segment in frame: 27] 
[the RTT to Ack the segment was: 0.055416000 seconds] 
le simple mat) transfer Protocol 
'H Response: 250 ok\r\n 
Response code 
Response param 


90 30 35 6b 40 00 
96 OF 0019 06 96 
16 do c2 42 00 00 


图 9-43 


30 7.406852 — 202.108.44.206 30.714.015 Response: 354 End data with <CR><LF>. <CR><LF || 


[E Ethernet Ir, sre: 00:60:03:82:42:19, Dst: 00:0a:f4:32:b7:ff 
E internet Protocol, src adir: 10.214.6.15 (10.214.6.15), Ost Addr: 202.108.44.206 (202.208.44.206) 
Version: 4 
Meader length: 20 bytes 
Gipffferentiated Services Field: 0x00 (DSCP 0x00: Default: ECN: 0x00) 
0000 00.. = Dffferentated Services codepoint: Default (0x00) 
re, = ecm-capasle Transport (ECT): O 
11. > ecwccer 了 
ToraT Length: 46 
Identification: Ox241b (9243) 
Flags: Oxot (Don't Fragnent) 
O... = Reserved bit: Not set 
sit pont Fragment? set 
1.0. 2 more fragments: Not set 
Fragment offset: © 
Tine to Vive: 128 
Protocol: rep (0x06) 
Header checksum: Oxcesf (correct) 
Source: 10.234.6.25 Clo. 214.012). 
Destination: 202-108.44,206 (202.108. 44.205), 
ei rransmisston control pratacol, sre Port: 1658 (1686), ost port: smtp (25), seq: 124, Ack: 243, Len: 6 
Source port: 1688 (1586) 
Destination port: smtp (25) 
Sequence mmber: 124 (relative sequence number) 
[Next sequence number: 130 (relative sequence number)] 
Acknowledgement number: 243 (relative ack number) 
Meader length: 20 bytes 
EiFlage: 0x0018 (pow, Ack) 
[3 Congestion window Reduced (Cw): wot set 
ION 


window size: 16318 
Checksum: Oxb28c (correct) 
[sea/acx analysis] 


e simple Mai] Transfer protocol 
B Command: para Vi 
Command: DATA 


Da fe 37 br HF OO Fr 
2e 24 ib 40 00 80 
Ee 06 96 00 19 99 
Be b2 c 00 00 aa 
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服务 器 对 DATA 命令 返回 一 个 应 答 ,应 答 码 为 354, 表 示 服 务 器 准备 接受 数据 ,数据 包 
XU<CR><LF>. 二 CR 这 二 LF 这 的 行 结束 ,如 图 9-45 所 示 。 


- [ine pu 
29 7.409117 — 10.214.513 202,108. 44,708 


H 
8 
04O 74 6i 20 77 69 74 68 2 
Fi nal to Ss OTT 


图 9-45 


客户 端 传送 邮件 正文 ,如 图 9-46 所 示 ,客户 端 用 连续 的 行 发 送 报 文 内 容 , 每 一 行 的 行 结 
束 用 二 CRLF 二 终止 。 

如 图 9-46 所 示 ,传送 的 报 文中 , MIME-Version 以 前 的 部 分 为 电子 邮件 首部 , MIME- 
Version 开始 为 MIME f$ 2b. MIME(Multipurpose Internet Email Extension, 多 用 途 因 特 
网 邮件 扩充 协议 ) 允 许 非 ASCII 数据 能 够 通过 电子 邮件 传送 。 由 于 发 送 电子 邮件 只 能 使 用 
NVT ASCII 格式 ,那么 邮件 中 的 其 他 格式 如 图 像 .mp3、 中 文 等 都 无 法 发 送 。 因 此 ,在 1992 
年 的 时 候 人 们 利用 MIME, 在 发 送 方 把 非 ACSI 数据 转换 为 NVT ACSI 数据 ,接收 方 再 把 
收 到 的 数据 还 原 。MIME 定义 了 5 种 首部 ,用 来 加 在 原始 的 邮件 首部 来 定义 参数 的 转换 : 
MIME-version, Content-Type 、Content-Transfer-Encoding、 Content-Id 和 Content-Description。 
MIME 后 来 也 应 用 了 浏览 器 ,为 了 让 浏览 器 知道 接收 到 的 信息 哪些 是 MP3 文件 ,哪些 是 
Shockwave 文件 ,服务 器 需要 将 发 送 的 多 媒体 数据 的 类 型 告诉 浏览 器 ,也 就 是 说 明 该 多 媒体 
数据 的 MIME 类 型 ,服务 器 将 MIME 标志 符 放 入 传送 的 数据 中 来 告诉 浏览 器 使 用 哪 种 插 
件 读 取 相 关 文 件 。 

如 图 9-47 所 示 ,服务 器 发 送 TCP 确认 ,对 收 到 的 数据 进行 确认 。 

客户 端 发 送 文 件 结束 信息 EOM(End Of Message) . 见 图 9-48。0d 0a 2e 0d 0a.2e 对 应 
的 ASCII 字符 是 “.”, 十 六 进 制 数 0d 对 应 的 ASCII 字符 是 “CR”, 意 思 是 回 车 ,十 六 机 制 数 
Oa 对 应 的 ASCI 字符 “LF” 意思 是 “换行 ”。 

服务 器 端 发 送 TCP 确认 ,如 图 9-49 所 示 。 
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Congestion window Reduced (CWR): Not set 


Acknowledgment: set 
Push: set 


Checksum: Ox73b3 (correct) 
E [seq/ack analysis] 
[this is an Ack to the segment in frame: 30] 
[the RTT to Ack the segment was: 0.000457000 seconds] 
E simple mat] Transfer Protocol 
Message-ID: «001901c47add$SfcOB4bOSOfO6déQaeopio» vn 
From: “restma41” «testing mai 1@163.com\r\n 
To: -<mat]_testo¢esohu. com» V Vn 
Subject: test smtp un 
. 5 Aug 2004 19:14:22 +0800\r\n 


Content-Type: multipart/alternative; \r\n 
-MextPart. 000 0016. 01747820. 6489000" Vr vn 


x-Maller: Microsoft Outlook Express 6.00.2800.1437 n 
X-MimeoLE: Produced By Microsoft MineoLE V6. 00.2800.1441\r\n 
Sr 
This is a multi-part message in MINE format. Vr 
V 
:  NextPart. 000, 0016. 01c47820. 6A8900FO\r n 
Content-Type: text/plaii 
NEcharser gb2312 vn 
Message: Content-Transfer-Encoding: baseé4\r\n 
In 
 AGLSDQOGICBpIGFTINElc3Rpimcgc210ccá e Vr \n 
YN 
I -NextPart. 000, 0016. O1C47820. 6A8900FO\r \n 
Content-Type: text/html; VV 
Ntcharseta gb2312" v Vi 
Content-Transfer-kncoding: baseés\r\n 
VW 
PCFET ONUWVBETChUT UWGUFVCTE TDICItLySPMÜNVL ORURCBIVEIMI DQUCBUCHFUC2 T Oaw SU vw Nn 
Lüvor jánc ] kVEIMP] xIRUFEPQOKPE: FVEEgaMROCCI lcxvpd'10b2 S0zwSOLVRScGUQY2 9udcvuN Vn 
doo davádcoodat soye | aGyc? voPwd im woo11 +0Q08TUVUQSB}b2 SOzwSOPSMUDRUTUwgN Aw Vn 
MCA yoDAwL J EONT 91 La 5 hbwUSROVORVJEVESSP QUK PFNUMUXFP WUL RZTEUM DQoBLOhFQUG«OQOS V" n 
Message: Qk9EWSBTzONvbGoyPStzRanmY« DQoSRE Twp Í xGTOSUIMNOmUSM] Soa SwSL OZPTIQe PCOESVYe Vn 
DQOSRE Ive | aTOUIMNpemt SM J4pbm) zcosmbm) zc05 gaSbhbSbOzomOawTnI Nt dMAUPCOGTOSUN- Vn 
PjwvnE Ter juak oewra t ohuruw qo VP. 
V 
Message: ~  NextPart. 000. 0016. 01c47820. 6A8900F0-—\r\n 


Tc ce 06 96 00 19 99 a6 cf eg 20 09 7f bi 30 RTT: J 
G0 00 4d 85 73 73 & 67 65 20 49 44 $ ingenuo 
30 3139 30 31 63 34 37 61 64 64 1.«büio0 Lea Faas 
38 34 62 30 24 30 66 30 36 64 36 30 — $fcoB4bo 80f08d50 
Ad sf Se Od Oa 36 72 6f ôd 3a 2 aeo; From: = 


31 7.467309 10.214.6.15 


ame 32 (60 bytes on wire, 60 bytes captured) 
E Ethernet 11, src: 00:0a:f4:32:7:ff, ost: 00: 32:42:19 
B internes Protocol, sre Adde: 202.108.44.206 (202,108.44.206), ost Addr: 10.214.615 Q0, 214, 6,15) 
Version: 4 
Header lergth: 20 bytes 
E pifferentiated Services Fteld: 
0000 00. 


Ox356d (13677) 
EFlags: Ox04 《Don't Fragmert) 
O... = reserved bit: Not set 
+ALL © bon't fragment: set 
:.0. ~ More fragments: wot set 
Fragrent offset: 0 
Time to live: 51 
Protocol: rep (Ox06) 
Header checksum: 0x0a44 (correct) 
Source: 202.108.44.206 (202.108.44.206) 
Destination: 10.214.615 (10.214.6.15) 
E Transmission contro! Protocol, Src Port: smtp (25), Ost Port: 1686 (1586), Seq: 280, Ack: 1468, Len: 0 
Source port: smtp (25) 
Destination port: 1686 (1686) 
(relative sequence number) 
: 1468 (relative ack number) 
Header lergth: 20 bytes 
0x0010 (ack) 
Congestion window Reduced (cw): Not set 
wet ser 
Urgent: wot set 
Acknowledgment: set 
Push: Not set 
Reset: not set 
Not set 


日 sEQyacK analysis] 
[This ds an ack to the segment in frame: 32] 
[ihe RTT to ACK the segment was: 0.093850000 seconds] 


‘00 60 08 82 3:19 00 0s fa 32 57 TF 98 00 3$ Q8 EU 
00 28 35 6d 40 00 33 08 03 44 ca Sc 2c ce Oa de — (m3. 10. 
SS OF 9019 09 96 2009 7f 03 99 36 55 22 50 10 s 


‘aren 
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La eT a eT U 
eS & </>] «e|; e jaja] FOES] 
aditeen | end tvi 


Souce pem [3 


7.281723 — 10.214.3.15 202.108.44.206 Command: MAIL FROM 
7134 202.108. 44.206 " X smtp > 1686 [ack] 
7.349027 E E 214.6. Response: 250 Ok 
7.349375 

7.408791 

7.409157 

7.466852 Response: 354 End 
7.467309 — 10.214.5.15 Message Body 
7.561159 202.108.44.206 10.214.6.15 smtp > 1686 [Ack] 


Frame 33 (59 bytes on wire, 59 bytes captured) 

B Ethernet II, src: 00:60:03:82:02:19, Dst: 00:0: 

B Internet Protocol, src addr: 10.214.6.15 (10.214.6.15), Dst Addr: 202.108.44.206 (202.108.4| 
insmission control Protocol, Src Port: 1686 (1686), Dst port: smtp (25), seq: 1468, Ack: 


00 Oa f4 32 b7 ff 00 $0 08 82 d2 19 08 00 45 00 
00 2d 24 ld 40 00 80 06 ce 8e 0a dé 06 Of ca 6c 
2c ce 06 96 00 19 99 16 d5 22 20 09 7f b3 50 18 
3f 99 0d c3 00 00 MHDENFCNENG 


图 9-48 


TIRT me 


[B ethernet 11, sre 
JB Internet Protocol, 
Version: 4 


0x00 (oscp 0x00: Default; ecn: 0x00) 
Different faced services codepoint: Default (0x00) 
52e. I gcN-Capable Transport (EC: 0 
III I menee: o 
Tota Lengeh! 4o 
Identification? 0x356e (13678) 
1" x04 (Don't Pragnert) 
7 teserved bit: Nor set 
Don't fragment 
7 hora fragens 
Fragment offset: O 
Tine co Tiva: 


[E Transmission control Protocol, Src Port: smtp (25), Ost Port: 1686 (1586), Seq: 280, Ack: 1473, Len: O 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence number: 280 {relative sequence number) 
Acknowledgement number: 1473 (relative ack number) 
Meader lergth: 20 bytes 
Flags: Ox0010 (ack) 
` = Congestion window Reduced (Cw): Not set 


window 
Checksum: 
 [seq/ack analysts) 
[This 1s an ack to the segment in frame: 33] 
[the RTT to Ack the segnert was: 0.055663000 seconde] 


‘00 60-08 8: 37 19 00 os 
90 28 35 6e 40 00 33 06 
99 OF 0019 05 96 20 09 


Ferenc 


图 9-49 


服务 器 返回 SMTP 响应 应答 码 为 250 ,表示 操作 成 功 , 如 图 9-50 所 示 。 到 此 一 封 邮件 
已 经 发 送 成 功 , 你 可 以 发 送 下 一 封 邮 件 。 

客户 端 用 QUIT 命令 来 结束 连接 ,如 图 9-51 所 示 。 

服务 器 返回 TCP 确认 ,如 图 9-52 所 示 。 

服务 器 端 返回 SMTP 响应 ,应 答 码 为 221 .表示 服务 关闭 .如 图 9-53 所 示 。 
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202.108.44.206 Command: QUIT 


EINIGE 


Version: 4 
Header length: 20 bytes 
Eipifferentiated Services Field: 0x00 (Dscp Ox00: default; ECN: 0x00) 
0000 00.. = Differentiated Services Codepoint: Default (0x00) 
..U = ECN-Capable Transport CECT): O 
1 I0 = ECN-CE? 0 
Total Length: 78 
Identification: OX3S6f (13679) 
Flags: Or (Don't Fragnert) 
= Reserved bit: Nov set 
MIC Sante frauen? set 
1.8. - More fragments: wot set 
Fragment offset: 0 
Time to Vive: 51 
Protocol: TCP (0x06) 
Header checksum: 0x0alc (correct) 
Source: 202.108, 44,206 (202,108,44. 206) 
Destination? 10,214.6.15 G0. 214.6.15) 
| Transmission control Protocol, Src Port: smtp (25), Ost Port: 1686 (1686), Seq: 280, Ack: 1473, Len: 
Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence rumber: 280 (relative sequence number) 
[Next sequence number: 318 (relative sequence nunbe-)] 
Acknowledgement number: 1473 (relative ack number) 
Header length: 20 bytes 
Brligs: 0x008 (Psh. A) 
Congestion window Reduced (Cw): Not set 
ECH-Echo: Mot set 
Urgent: nor set 
Acknowledgment: set 
Push: Set 
Reset: Not set 
Syn: Not set 


window size: Boze 
Checksum: Oxec3 (correct) 
IB simple matt Transfer Protocol 
Response: 250 Ok: queued as TuDZcSUMEkHGrVIC.2\r\n 
Response code: 250 
Response parameter: Ok: queued as TuOzcSUwEkMGrvIC.2 


00-60-08 82d? 19-00 0a fa 


E 
3b 90 90 32 35 30 20 ETT 
$573 65 04 20 GL 73 20 49 $5 dà fei! as. uorcSw 


Response: 250 ok: 


(Frame 41 (60 bytes on wire, 60 bytes captured) 
92:42:19, Ost: 00: 


Version: 4 
Header length: 20 bytes 
E pifferentlated Services Fiel Default; £c 
0000 00.. = Differentiated Services Codepoint: Default (0x00: 
1-0. = EcN-Capable Transport (cr): O 


identification: Ox2439 (9273) 
日 Flags: O04 (pont Fragmert) 
O... = Reserved bit: wor set 
ll Z Don't fragment: Set 
{2 = wore fragments: mot set 
Fragment off se 
Tine to rives 126 
Protocol: rep COx06) 
Meader checksum: Oxce7L (correct) 
Source: 10.214.6.15 (10.214.65.15) 
Destination: 202.108.44.206 (202.108. 44.206) 
[E Transmission control Protocol, Src port: 1686 (1686), ost Port: smtp (25), Seq: 1473, Ack: 318, Len: 6 
Source port: 1686 (1686) 
Destination port: smtp (25) 
Sequence nunber: 1473, (relative sequence number) 
[Next sequence number: 1479 (relative sequence number)] 
Acknowledgement number: 318 — (relative ack number) 
Header lergrh: 20 bytes 
Flags: 00018 (PSH, ACK) 
coon Congestion window Reduced (CWR): Not set 
ECM-Echo: Now set 
Urgent: Mot set 
Acknowledgment: set 
Push: set 
Reset: not set 


window size: 16243 
Checksum: Oxab20 (correct) 
日 sq/ack analysts] 
[thts 15 an ack to the segment in frame: 40] 
[the RTT to ACK the segnent was: 0.001558000 seconde] 
E simple mail Transfer Protocol 
Ecomund: wiT\r\n 
Command: QUIT 


pE PN i G2 di 19 08 09 
o a 00 19 99 a8 d3 27 20 09 7F de 50 18 
ab 20 00 00 51 55 49 54 Od oa 


Porcio Xie 
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43 17.700844 — 202.108.44.206 10.214.6.15 


[Frame 42 (50 bytes on wire, 60 bytes captured) 
| Ethernet 1, sre: 00:03:f4:32:b7:ff, ost: 00: 19 
E Interner Protocol, sre Adde: 202.108.44.20 (202.108.44.06), Ost addr: 10.214.615 (10.214.6.15) 
Version: à 
Header length: 20 bytes 
Boifferentiated Services Field: 0x00 (DSCP 0x00: Default: ECN: 0x00) 
0000 00.. = Differentiated services Codepoint: Default (0x00) 
ob = EcN-Capable Transport (CI): O 
l0 = sence: 0 
Total Length: 40 
Identification: Ox3570 (13680) 
日 Flags: Ox04 (Don't Fragnert) 
O... = Reserved bit: No: set 
I bon't fragment: set 
2.0. ~ more fragments: wot set 
Fragment offset: 0 
Time to Tve: 51 
Protocol: TP (0x06) 
Meader checksum: 0x0a41 (correct) 
Source: 202.108.44.206 (202,108.44. 206) 
Destination: 10,214.6.15 (0. 214.6.15) 
[E Transmission control Protocol, Sre Port: smtp (25), Ost Port: 1686 (1686), Seq: 318, Ack: 1479, Len: 0 
‘Source port: smtp (25) 
Destination port: 1686 (1686) 
Sequence rumber: 318 — (relative sequence number) 
Acknowledgement number: 1479 (relative ack number) 
Header lergth: 20 bytes 
EFlags: 0x0010 (ck) 
O... vere = Congestion window Reduced (CWR): Not set 
60,2 JIII I ECM-Echo; Mot set 
= Urgent: Mor set 
= Acknowledgment: set 
7 push: wot set 
x Reset: Not set 
HIND DAL I syn: mot set 
TIN 11.0 = etn: wot set 
window size: B028 
Checksum: 0x72f3 (correct) 
B [seq/ack analysis] 
[This 15 an Ack to the segeent in frame: 41] 
[The RTT to ACK the segment was: 0.052601000 seconde] 


‘gii: 


parene | 


44 17.701867 —.202.108.44.206 30.214.615 


Frame 43 (G3 byter_on wire. oF bytes captured] 
E Ethernet 12, ster 00:04:FA:32:D7.FF, ost? 00 " 
B internat Proxocol, sre Addr? 201.108 1.206 (IU-108.M- 100). Ost Addr: 20.234.6.25 QU 24,619) 
Versioni 4 
eder length: 20 bytes 
Bülfferentiitel services Field: 0x00 Cosce 0x00: Default; ecn: 0x00) 
(000 00.. = bifferenviaced services Codepotne! befault COx00) 
we: I gemeapable Transport (EET 0 
fo I eewer © 
Tota Lengeh: as 
Hdenetticarton? 033572 caeno 
Flags! sot Qn t Fragaert) 
er biti nor set 
SLIT ponte fragment: set 
21. I re fragments 
Fragent offset: © 
Tine co vei 52 
Protocel: ves Coxo) 
Meader checksum: On0337 (correct) 
Source: 201.108.44::06 (362.108.44.20) 
Gest ination: 10:244. 6.15 GÒ.214.6.13) 
a transmissor contrat Protocol, sre Port? emp CH), Det Port: 1686 C1686), Seq: 318, Ack: 1479, Len: 9 
Source port: smtp (25) 
Destination port 1888 (1686) 
Sequence rumber: 218, (relative sequence runber) 
{next sequence number: 327 (relative sequence nunbecy] 
Acknowledgement number: 1479 (relative ack number) 
header Tengen 20 byter 
aos OKXLS (esky ac) 
~ Congestion window Reduced (Cw): wot set 
Seco: wav set 
Urgent! not set 
Acinowiedgment: set 
push: set 
Reset: mor set 
Syn hot set 
fa I Fin: Mot se: 
wrido size e 
Chectsun: OXSe09 (correct) 
s simpre matt Transfer rrotocol 
Cesponse: 221 eyes 
esponee code: ul 
Response parameter: Bye 


00 60 08 8: Gz 19 fa-32 br TF os 00 43 00 
Q0 3135 71 40 00 Ga 37 ca 6c 2c ce Oa de 
06 OF 00 19 06 96 20 09 7f do 99 a6 d$ 2d 50 18 
If Se Se 09 00 00 32 32 31 20 42 79 65 


接 下 来 就 是 熟悉 的 TCP 4 次 握手 了 ,如 图 9-54 一 图 9-57 所 示 。 


302 108.44 208 


EUETENU 
1570833 10,214,615 
47 171756785  200.109.44.206 


40.218. 6.15 


ach) Seq-1479 Act-328 winc16234 Lenso 
Grin, ach) seq-1475 Ack-128 winel6234 Lene 
Tack] Seqeaz6 Ack«lASO win-B028 LeneO 


[E Ethernet 1r, sre: 00:0a:f4:32:b7:Ff, ost: C0:00:08:82:d2:19. 


|a Emernet Protocol, sre Adde: 202.108.44.206 (202.108.44.06), Ost Addr: 10.214.615 (10.214.6.15) 


Version: 4 
Meader length: 20 bytes 


bifrerenciaved services Field: 0x00 (oscP 0x00: pefault: c 
(0000 00.. = pifTerentiated services codepoint: Default (0x00) 


Total Length: 40 
Here Pleat ton: 03572 (13682) 
Flags: 0x04 (Don't Fragment) 

Gr. - Reserved Bie? Not set 
MIDI Dom t frageent set 
IL. = more frageemts: not set 

Fragnene offset: 0 

Tine to Vive: 于 

protocol: Yer (0x06) 

Reader checksum: O043f Ceorrect) 


Source: 202,108.44, 206 (202,108.44, 208) 
Destinacton: 20.214,6.15 (10. 214.6.15) 


|a transmi sston control Protocol, sre Port 


‘Source port: seep (29) 
Destination port: 1686 C1636) 


Sequence number: 327 (relative sequence number) 
Actnowledgenent number: 1479 — (relative ack number) 


Header Tengen: 20 bytes 
Flags: oxogil (FIN, AEK) 


v. Congestion window Reduced (0m): Not set 


Eencecho: hot see 
egent: not set 
Acknow edgar: set 
Push? noe set 

Synz Not set 


smtp (25), ost Port: 1685 (1686), Seq: 327, Ack: 1479, Len: O 


131770084 202.108. 44. 708 
14 17.701967 202.108. 44.208 


17.702533 10. 218,6, 19 
47 17.756785 D01.108.44.106 
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Response: 221 Bye 
Smtp > 1686 [FIN. ACK] Seqe327 Ach=1479 vin-ac28 Lenso 


1686 ein, ACK] Seq1479 Ack=328 Win=16234 Len=O 
Smp > Lose [ach] 389-328 Ack«lASO win-0028 Len- 


(arama 43 (93 bytes on wire, 34 bytes captured) 


|E Ethernet Ir, sre: 00:60:08:82:42:19, Det: 00:0azfd:32zbTiff 
[A internet protocol, src addr: 10.214.6-15 (10.214.613), bet Adde. 


Version: 4 
Meader length: 20 bytes 


ioifferenttated Services Field: 0x00 (pscP O00: pefault; ecn: 0x90) 
(0000 QU.. = DffTerentiated services codepoint: Default (0x00) 


- sU. = ecn-capable Transport (ECT): 0 


TOL Lite > Facer o 
Tatai Length: 40 
Tiere tfleat toni. Qx243a (9274) 
Flags: 0x04 (Don't Fragment) 
Wr. Reserved biti Mot set 
SLL! I bon t fragments set 
ib. 7 More fragments! Mot set 
Fragnene.offser: 0 
Fine to Tver 128 
Protocol: Ter (0x06) 
Header checksum: Oxce76 (correct) 
Source: 20.214,6.25 (10. 14,619) 


Bertinacton: 202.108.44.209 (202. 208.44.206) 
és (1696), ose Port: smtp (25), Seq: 1479, Ack: 328, Lent O 


[a transmission control protgcsl, Sre Port 


Source port: 1686 (1686) 
Destination port: smtp (25) 


Sequence mmber: 1479" — (relative sequence number) 
Acknowledgement number: 328 (relative ack number) 


Meier length: 20 bytes 
riage: 0x0810 (Ac) 


Congestion window Reduced (Ow): Wot set 


Eencechor wot set 
Urgent: wot set 


Acknowledgment: set 
Puch? Wor ser 


window site: 16234 
Checksum: 015298 (correct) 
a (sey/ace analysis] 


Tis ds an ACK to the segment in frane: 44] 


[ihe ert to Ack the segment wis: 0.000070000 seconds] 


202.108.44.206 (202.108.464.206) 


和 
24 33 40 00 80 00 ce 76 04 36 09 
DS o6 00 19 9g aa 95 29 20 99 7f e1 


9-55 
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202 18,44 206 Ene 
14 17.701887 202.108.44.20 10.214.86.15 Satp > 1686 [FIN, ACK] Seqr327 Ack-1479 win-8028 Len 


45 17.701937 10.212.013 201-108.24.206 X Seg-1479 Act-329 winc16234 Leno 


LEGI UNESECXO CC TREC EC 


TENET 


[arrane 37 ($i bytes on wire, S2 bytes captured 
ethene 22, sre: o 82302119. peti coreacf 
JS internet protocol, sre addr: 1024.01) (10.214.013), 0st Addr: 202.108.44.206 (202.108. 44.206) 
Version: 4 
Meader length: 20 bytes 
bifferentiited services rteld: ooo (oscp owoo: befaule; ecw: 0300) 
QOO Qo.. = DifTerentlateg services codepeint: Default COx00} 
fe cd. 2 gOcapabla Transport (ECT): O 
LII eerta 
raed Length? 40 
Tene feat Ton: 91243 (0275) 
Flags: oxo (Don't Frageent) 
We. T Reserved Bie nee set 
A37: I Donte fragnene’ set 
13, I hore frageents: not set 
Fragnene offset: © 
Tine to Vives iis 
Protocol: Tee (0x06) 
feader checksum: Oxce7S (correct) 
Source: bo, 2476.45. pn] 
estirar ton: Sis. 09. 4.209 638108.44.206) 
e rraramtsoton contro! Pravacol, sre Port: 1680 (1684), pet port: stp (25), Seq: 1479, ack: 328, Lent 
Source port: Teas Clea) 


(relative sequence number) 
Actnowledgenent number: 308. (relative ack number) 
Header Tengen: 20 bytes, 

Flags: oxouil (FIN, AEK) 

Congestion window Reduced (cux): Not set 
Eensecho: ot set 
gene: wor set 
Acknow edgnant: set 
Push? wot set 
Syne hat set 
ien 
Checksum: Ox52da (correct) 


ce 75 Oa d6 06 OF ca be 
80 GS 2430 98 PF ed S03 


3 17. JO 302.108,44. 306 oe 

1700967 202/208, 44,208 Smtp > 1686 [eth ACK] Seqe327 Ack«1479 win=9020 Leneo 
45 17. 701937 10. 314.8.35 201:108.44.206 iese > serp [ac] 3691479 Ack-328 winca6234 Lena0 
48 17.702133 Ed 201:108.44.200 1686 > smtp fein, ACK] sg.1479 ACHIIR wins16234 Lenso 


0 bytes captured) 
|a Ethernet ir, sre: 0 32:b7:ff, Ort: 00:60:08: 
|a Internet Protocol, sre addr: 202.108.44.106 (202.108-44.206), Ost Addr: 10.214.6.15 (20.214.6.15) 
Version: 4 
Pesder length: 20 bytes 
abitterenciated services Field: 0x00 CoscP 0x00: pefault; ecm: 0x00) 
(0000 00.. = DifTerentiated services Codepoine! Default (0x00) 
five s10. = Ken-capable Transport (ECT): O 
o 


Identification: o«o000 C0) 
GIF lags: 0x04 (Don't Fragment) 
Gr. - Reserved biti Not set 
‘LL! Dow t fragment; set 
b; I More fragments! Mot set 
Fragnene. offset: 0 
Time to ver 31 
Protocol: Ter (0x06) 
Header checksum: Ox3fbt (correct) 
ource: 302 208-44 208, (203,108, a quo 
|a transmission control Protocol, sre Port: seep (25), Dst Port: 1686 (1686), Seq: 328, Ack: 1480, Len: 0 
‘Source port: stp (15) 
Destination port: 1686 C1686) 
Sequence number: 328 
Acknowledgement number: 1450 
Header length: 20 bytes 
laor: cxouo cack 
Congestion window Reduced (cux): Not set 
Eentecho: not see 


window size: 8023 
Checksum: 0x728 (correct) 
a ser analysis] 
Te dr an ACK to the segment in frane: a6) 
ihe ert to ack the segnert was: 0.084252000 seconds] 


TE br 08 00 a oo 
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CHAPTER 10 


DHCP 协 iX 3108 


10.1 DHCP 协议 概述 


DHCP (Dynamic Host Configuration Protocol) 分 为 两 个 部 分 : 一 个 是 服 
务 器 端 , 另 一 个 是 客户 端 。DHCP 服务 器 集中 管理 网 络 环境 资料 并 负责 处 理 
客户 端的 DHCP 请 求 , 客 户 端 根据 从 服务 器 分 配 下 来 的 IP 环境 资料 来 设置 
自身 的 网 络 环境 。DHCP 分 配 地 址 有 两 种 方式 。 

(OD 自动 分 配 : 一 旦 DHCP 客户 端 如 下 第 一 次 成 功 地 从 DHCP 服务 器 
端 租用 到 IP 位 址 之 后 ,就 永远 使 用 这 个 位 址 。 

(2) 动态 分 配 : 4 DHCP 第 一 次 从 DHCP 服务 器 端 租用 到 IP. 地 址 之 
后 ,并 非 永久 的 使 用 该 位 址 ,只 要 租约 到 期 ,客户 端 就 得 释放 (release) 这 个 IP 
位 址 ,以 便 其 他 主机 可 以 使 用 。 但 是 客户 端 有 权 比 其 他 主机 更 优先 地 延续 
(renew) 租 约 , 或 是 租用 其 他 的 TP 位 址 。 由 此 可 见 动态 分 配 显然 比 自动 分 配 
更 加 灵活 ,尤其 是 当 IP 地 址 址 不 够 用 的 时 候 。 

DHCP 的 前 身 是 BOOTP., BOOTP 协议 是 一 个 基于 TCP/IP 协议 的 协 
议 , 它 可 以 让 无 盘 工 作 站 从 一 个 中 心服 务 器 上 获得 IP 地 址 ,这 样 为 局 域 网 中 
的 无 盘 工 作 站 分 配 动态 IP 地 址 ,并 不 需要 每 个 用 户 去 设置 静态 IP 地 址 。 
DHCP 是 对 BOOTP 的 扩展 , 它 的 包 格 式 和 BOOTP 一 样 ,这 使 得 BOOTP 和 
DHCP 之 间 可 以 实现 互 操 作 。 它 们 都 使 用 UDP 端口 号 是 67( 服 务 器 端 ) 和 
68( 客 户 端 )。DHCP 和 BOOTP 的 区 别 如 下 : 

(D DHCP 对 IP 地 址 使 用 有 个 时 间 的 限制 ,在 客户 使 用 期 限 到 了 就 要 释 
放 这 个 地 址 ,或 者 申请 续 租 这 个 IP 地 址 。 

(2) DHCP 包 长 度 比 BOOTP 包 长 .因此 DHCP 为 用 户 提 供 所 有 TP 网 
络 配置 参数 。 

(3) DHCP 有 7 种 消息 类 型 ,而 BOOTP 只 有 两 种 。 

DHCP 既 有 优点 也 有 缺点 。 它 的 优点 是 : 网 络 管理 员 可 以 通过 DHCP 
服务 器 来 验证 IP 地 址 和 其 他 配置 参数 .而 不 用 去 检查 每 个 主机 ; DHCP 服务 
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器 不 会 同时 租借 相同 的 IP. 地 址 给 两 台 主 机 ,这 样 避免 了 地 址 冲突 ; DHCP 管理 员 可 以 约束 
特定 的 计算 机 使 用 特定 的 IP 地 址 ; 可 以 为 每 个 DHCP 作用 域 设置 很 多 选项 ; 客户 机 在 不 
同 子 网 间 移 动 时 不 需要 重新 设置 IP 地 址 。 

同时 它 的 缺点 也 存在 : DHCP 不 能 发 现 网 络 上 非 DHCP 客户 机 已 经 在 使 用 的 IP 地 
dik; 除非 路 由 器 允许 BOOTP 转发 ,一 般 DHCP 服务 器 不 能 跨 路 由 器 与 客户 机 通信 。 

DHCP 的 工作 过 程 如 下 : 

(OD DHCP 客户 机 寻找 DHCP 服务 器 的 阶段 。 如 果 客 户 机 第 一 次 上 网 ,没有 设 定 IP 
地 址 等 网 络 信 息 , 用 DHCP 来 发 现 网 络 初始 设置 时 ,DHCP 客户 机 以 广播 方式 (因为 DHCP 
服务 器 的 IP 地 址 对 于 客户 机 来 说 是 未 知 的 ) 发 送 DHCP discover 报 文 来 寻找 DHCP 服务 
器 ,这 个 广播 报 文 向 地 址 255. 255. 255. 255 发 送 。 网 络 上 每 一 台 安 装 了 TCP/IP 协议 的 主 
机 都 会 接收 到 这 个 广播 信息 ,但 只 有 DHCP 服务 器 才 会 做 出 响应 ,如 图 10-1 所 示 。 

当 客 户 端 将 第 一 个 DHCP discover 报 文 送出 去 之 后 在 1 秒 之 内 没有 得 到 回应 的 话 就 会 
进行 第 2 次 发 送 DHCP discover 报 文 ; 第 2 次 等 待 的 时 间 为 9 秒 ,9 秒 后 没 得 到 回应 , 则 会 
第 3 次 发 送 DHCP discover Ji 3c; 第 3 次 等 待 的 时 间 为 13 秒 , 如 果 13 秒 后 没有 回应 ,就 发 
送 第 4 次 DHCP discover 广播 ; 第 4 次 等 待 时 间 为 16 秒 后 ,16 秒 后 还 没 得 到 回应 就 息 宣 告 
DHCP discover 的 失败 ,没有 找到 DHCP 服务 器 。 之 后 ,经 过 5 分 钟 再 重 一 次 DHCP 
discover 的 要 求 。 由 于 客户 端 在 开始 的 时 候 还 没有 IP 地 址 所 以 在 它 发 送 的 DHCP discover 
报 文 内 会 带 有 其 MAC 地 址 信息 并 且 有 一 个 XID 编号 ,用 DHCP 服务 器 返回 应 答 用 。 

(2) DHCP 服务 器 提供 IP 地 址 的 阶段 。 在 网 络 中 接收 到 DHCP discover 发 现 信息 的 
DHCP 服务 器 都 会 做 出 响应 , 它 从 IP 地 址 池 中 挑选 一 个 未 分 配 的 IP 地 址 给 DHCP 客户 
端 ,通过 向 DHCP 客户 端 发 送 一 个 包含 出 租 的 TP 地 址 和 其 他 设置 的 DHCP offer 来 提供 信 
息 如 图 10-2 ras. DHCP 服务 器 回应 的 DHCP offer 报 文 ,这 个 报 文 含有 必要 的 网 络 设 置 
信息 ,诸如 TP 地址、 租约 期 限 和 网 关 等 信息 。 


DHCP 服 务 器 DHCP 服 务 器 
DHCP discover à DHCP offer i 


客户 端 


DHCP 服 务 器 DHCP 服 务 器 


图 10-1 图 10-2 


(3) DHCP 客户 端 选择 某 台 DHCP 服务 器 提供 的 IP 地 址 的 阶段 。 如 果 有 多 台 DHCP 
服务 器 向 DACP 客户 端 发 来 的 DHCP offer 提供 信息 ,那么 DHCP 客户 端 只 接受 第 一 个 收 
到 DHCP offer 提供 的 信息 ,然后 它 就 以 广播 方式 回答 一 个 DHCP request 请 求 信息 ,该 信 
息 中 包含 向 它 所 选 定 的 DHCP 服务 器 请 求 IP 地 址 等 内 容 , 发 送 这 个 请 求 信息 是 为 了 让 所 
有 的 DHCP 服务 器 知道 , 它 将 选择 某 台 DHCP 服务 器 所 提供 的 IP 地 址 如 图 10-3 所 示 , 因 
此 ,这 个 请 求 信息 使 用 的 是 广播 地 址 。 

(4) DHCP 服务 器 确认 所 提供 的 IP 地 址 的 阶段 。 当 DHCP 服务 器 收 到 DHCP 客户 端 
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的 DHCP request 请 求 信 息 之 后 , 它 便 向 DHCP 客户 端 发 送 一 个 包含 它 所 提供 的 IP 地 址 和 
其 他 设置 的 DHCP ack 确认 信息 ,告诉 DACP 客户 端 可 以 使 用 它 所 提供 的 IP 地 址 。 然 后 
DHCP 客户 端 便 将 其 TCP/IP 协议 与 网 卡 绑 定 ,另外 , 除 DHCP 客户 端 选 中 的 服务 器 外 ,其 
他 的 DHCP 服务 器 都 将 收回 曾 提供 的 IP 地 址 ,如 图 10-4 所 示 。 


hr a DHCP 服 务 器 


DHCP request 


rm APN ln c 
DHCP 服 务 器 DHCP 服 务 器 
图 10-3 图 10-4 


当 客 户 端 启用 DHCP 服务 器 给 的 IP 地 址 前 ,客户 端 还 会 向 网 络 发 送 一 个 ARP 
(Address Resolution Protocol) 报 文 查询 网 络 上 面 有 没有 其 他 机 器 使 用 该 IP 地 址 ,如 果 发 
3U IP 已 经 被 占用 ,客户 端 则 会 送出 一 个 DHCP decline 报 文 给 DHCP 服务 器 拒绝 接受 其 
DHCP offer 并 重新 发 送 DHCP discover 信息 。 

(5) DHCP 客户 端 再 次 重新 登录 网 络 时 ,就 不 需要 再 发 送 DHCP discover 发 现 信息 了 ， 
而 是 直接 发 送 包 含 前 一 次 所 分 配 的 IP 地 址 的 DHCP request 请 求 信息 。 当 DHCP 服务 器 
收 到 这 一 信息 后 , 它 会 尝试 让 DHCP 客户 端 继续 使 用 原来 的 IP 地 址 ,并 回答 一 个 DHCP 
ack 确认 信息 。 如 果 此 IP 地 址 已 无 法 再 分 配给 原来 的 DHCP 客户 端 使 用 时 (比如 此 TP. 地 
址 已 分 配给 其 他 DACP 客户 端 使 用 ), 则 DHCP 服务 器 给 DHCP 客户 端 回答 一 个 DHCP 
nack 否认 信息 。 当 原来 的 DHCP 客户 端 收 到 此 DHCP nack 否认 信息 后 , 它 就 必须 重新 发 
送 DHCP discover 发 现 信息 来 请 求 新 的 IP 地 址 。 

(6) DHCP 服务 器 向 DHCP 客户 端 出 租 的 IP. 地 址 一 般 都 有 一 个 租借 期 限 ,期 满 后 
DHCP 服务 器 便 会 收回 出 租 的 IP 地 址 。 如 果 DHCP 客户 端 继续 使 用 该 IP 地 址 , 则 必须 更 
新 其 IP 租约。DHCP 客户 端 在 IP 租约 期 限 过 一 半 时 ,会 自动 向 DACP 服务 器 发 送 DHCP 
request, 更 新 其 IP 租约 的 信息 。 如 果 此 时 得 不 到 DHCP 服务 器 的 确认 的 话 客 户 端 还 可 以 
继续 使 用 该 ,然后 在 剩 下 的 租约 期 限 的 再 一 半 的 时 候 ( 即 租约 的 75%) 还 得 不 到 确认 的 
话 ,那么 工作 站 就 不 能 拥有 这 个 IP 了 。 


10.2 DHCP 报 文 结构 


DHCP 报 文 结构 如 图 10-5 所 示 。 

1) Opcode 

当 为 Boot request 时 ,Opcode 值 为 1, 当 为 Boot reply 时 .Opcode 的 值 为 2。 
2) HTYPE 

硬件 类 别 ,Ethernet 为 1 ,一些 常 见 的 硬件 类 别 及 值 如 表 10-1 所 示 。 


146 


CP/IP 协议 深入 分 析 
0 8 16 24 31 
Opcode HTYPE HLEN HOPS 
Transaction ID 
Seconds Flags 

Client IP address 

Your IP address 

Server IP address 

Gateway IP address 
Client hardware address 
Server host name 
Boot filename 
Options 
图 10-5 
表 10-1 常见 的 硬件 类 别 及 值 

值 d 述 
1 Ethernet 
3 Amateur Radio AX. 25. 
4 Proteon ProNET Token Ring 
5 Chaos 
6 IEEE 802 
7 ARCNET 
8 Hyperchannel 
9 Lanstar 
10 Autonet Short Address 
11 LocalTalk 
12 LocalNet (IBM PCNet or SYTEK LocalNET) 
13 Ultra link 
14 SMDS 
15 Frame Relay 
16 ATM, Asynchronous Transmission Mode 
17 HDLC 
18 Fibre Channel 
19 ATM, Asynchronous Transmission Mode 
20 Serial Line 
27 EUL64 
31 IPsec tunnel 
3) HLEN 
硬件 地 址 长 度 ,Ethernet W 6. 
4) HOPS 


定义 报 文 可 经 过 的 最 大 跳 数 。 在 同一 网 内 为 0。 
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5) Transacion ID 


客户 端 发 送 DHCP request 时 ,选择 一 个 随机 的 数字 ,以 作为 DHCP 服务 器 端 回应 时 的 
依据 。 


6) Seconds 

客户 端 启 动 时 间 ( 秒 ) , 当 客户 端 获得 一 个 地 址 或 者 更 新 进程 。 

7) Flages 

0—15 FE 16 位 ,最 高 位 为 1 时 表示 服务 器 将 以 广播 方式 传送 报 文 给 客户 ,其 余 尚 未 
使 用 。 


8) Clinet IP address 

客户 端 想 继续 使 用 以 前 取得 的 IP 地 址 ,这 里 填写 想 继续 使 用 的 IP 地 址 。 

9) Your IP address 

这 里 填写 分 配给 客户 的 IP 位 址 。 

10) Server IP address 

如 果 客 户 需要 通过 网 络 启动 ,这 里 填写 启动 程序 所 在 的 服务 器 的 地 址 。 

11) Gateway IP address 

如 果 需 跨 网 段 进行 DHCP 发 放 , 这 个 字段 为 中 继 代理 的 地 址 ,否则 为 0。 

12) Client hareware address 

客户 端的 硬件 地 址 。 

13) Server host name 

服务 器 的 名 称 , 以 0x00 结尾 。 

14) Boot filename 

如 果 客 户 端 需要 通过 网 络 开机 ,这 里 将 填写 引导 文件 的 名 称 , 稍 后 以 TFTP 传送 。 
15) Options 

提供 更 多 的 附加 信息 (如 Netmask Gateway, DNS 等 ) 或 者 厂商 信息 ,其 长 度 可 变 。 
16) Magic cookie 

这 个 字段 出 现 表 明 下 一 个 数据 段 就 是 选项 。 


10.3 DHCP 报 文 分 析 


接 下 来 看 看 实际 截获 的 DHCP 的 报 文 : 

如 图 10-6 所 示 ,客户 端 发 送 一 个 DHCP discover 报 文 ,这 个 报 文 的 源 地 址 为 0. 0. 0. 0， 
目标 地 址 为 广播 地 址 255. 255. 255. 255, DHCP discover 报 文 是 个 Boot request 类 型 的 报 
文 , 注 意 这 个 报 文 的 Transaction ID, 后 续 的 报 文 都 是 凭借 这 个 ID 来 维持 服务 器 和 客户 端 
联系 的 。 报 文中 还 包含 了 客户 端的 MAC 地 址 .主机 名 等 信息 。 

如 图 10-7 所 示 ,服务 器 端 收 到 DHCP discover 报 文 后 ,发 送 DHCP offer 报 文 ,Source 
地 址 是 DHCP 服务 器 IP 地 址 ,Destination 地 址 是 255. 255. 255. 255, 可 以 看 到 报 文 中 有 一 
个 分 给 客户 端的 IP 地 址 ,DHCP Option Field 部 分 ,可 以 看 到 由 服务 器 端 随 IP 地 址 一 起 发 
BEF PES .默认 网 关 ( 路 由 器 ) ,租约 时 间 和 域名 服务 器 地 址 。 
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| Internet Protocol, src Addr: 0.0.0.0 (0.0.0.0), Dst Addr: 255.255.255.255 (255.255.255.255), 
日 user Datagram Protocol, Src Fort: bootpc (68), Dst Port: bootos (67) 
Source port: bootpc (68) 
Destination port: bootps (67) 
Length: 308 
Checksum: Ox7dd3 (correct) 
E Bootstrap Protocol 
Message type: Boot Request (1) 
Hardware type: Ethernet 
Hardware address length: 6 
Hops: 0 


Seconds elapsed: 0 
E Bootp flags: Ox8000 (Broadcast) 
Lees sees sees ser. = Broadcast flag: Broadcast 
.000 0006 0000 0000 = Reserved flags: 00200 
Client IP address: 0.0.0.0 (0,0,0.0) 
Your (client) IP address: 0.0.0.0 (0.0.0.0) 
Next server IP address: 0.0.0.0 
Relay agent IP address: 0.0.0.1 
Client hardware address: O0. 
Server host name not given 
Boot file name not given 
Magic cookie: (Ok) 
Option 53: DHCP Message Type = DHCP Discover 
Option 116: DHCP Auto-Configuration (1 bytes) 
Option 61: Client identifier 
Option 12: Host Name = "zjzucc" 
Option 60: Vendor class identifier = "MSFT 5.0" 
BOption 55: Parameter Request List 
1 = Subnet Mask 
15 = Domain Name 
3» Router 


-D.C4 Fors 


[B Frame 64 (342 bytes on wire, 342 bytes capturec) 
E Ethernet II, Src: 00:0f :f7:07:98:3f, Ost: ffiffiffiffiffiff 
|E Internet Protocol, Src Addr: 10.61.19.1 (10.61.19.1), Dst Add-: 255.255.255.255 (255.255.255.255) 
B User Datagram Protocol, Src Fort: bootps (67), Dst Port: bootoc (68) 
E Bootstrap Protocol 
cr 


Hardware type: Ethernet 
Hardware address length: 6 
Hops: 0 
Transaction ID: Oxe27d7937 
Seconds elapsed: 0 
日 Bootp flags: 0x8000 (Broadcast) 
Lees sees sees rer. = Broadcast flag: Broadcast 
+000 0000 0000 0000 = Reserved flags: 00200 
Client IP address: 0.0.0.0 (0.0.0.0) 
Your (client) IP address: 10.61.19.43 (10.61.19.43) 
Next server IP address: 0.0.0.0 (0.0.0.0) 
Relay agent IP address: 0.0.0.0 (0.0.0.0) 
Client hardware address: 00:04:23:6f:05:10 
Server host name not given 
Boot file name not given 
Magic cookie: (OK) 
Option 53: DHCP Message Type = DHCP Offer 
Option 54: Server Identifier = 10.61.19.1 
Option 51: =P Address Lease Time = 1 minute 
56: Renewal Time Value = 30 seconds 
59: Rebinding Time Value = 52 seconds 
1: Subnet Mask = 255.255.255.0 
5: Domain Name Server = 10.61.10.10 
Router = 10.61.19.1 


8838838 
888885| 
88828% 


g|ssssss| 
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如 图 10-8 所 示 ,客户 端 收 到 DHCP offer 报 文 后 ,打算 使 用 服务 器 端 分 配 的 IP 地 址 ,这 
时 ,客户 端 发 送 DHCP request, 使 用 Requested IP Address 字段 以 向 服务 器 确认 客户 端 将 
使 用 这 个 地 址 ，Server Identifier 字段 显示 提供 租约 的 DHCP 服务 器 的 IP 地 址 。 


Mev Go Capture Aaiye Saisies Hep 


GEADAS B49] OF z EAI) EEG EE 


Frame 65 (350 bytes on wire, 350 bytes captured) 
104:23 :6f:05:10, Dst: ffiffiffiffiffiff 
(0.0.0.0), Dst Addr: 255.255.255.255 (255.255.255.255) 
s (67) 


je type: Boot Request (1) 
Hardware type: Ethernet 
Hardware address length: 6 


Transaction ID: 0xe27d7937 
Seconds elapsed: 
Ej Boot flags: 0x8000 (Broadcast; 
x Broadcast flap: Broadcast 
= Reserved flags: 
) 


magic cookies (OK 
Option 53: DHCP Message Type = DHCP Request 
option 61: Client ident 
e type: Ethernet 


st 
Option 81: Client Fully Qualified Domain Mare (10 bytes) 
Option 60: Vendor class identifier = "MSFT 

Option 55: Parameter Request List 
End Optior 


53792555753 55-71-07 38 4^ 1 
HETE 


00 00 7. 
oe 3 46 54 20 95 2e 30 3 
S7 Gb O1 OF O3 O6 2c 2e 2f IF 21 FS 2b FF 


如 图 10-9 所 示 ,DHCP 服务 器 用 DHCP ack 响应 DHCP request, 以 此 完成 初始 化 周 
W. Source 地 址 是 DHCP 服务 器 的 IP 地 址 , Destination 地 址 仍然 是 255. 255. 255. 255. 
YIADDR 字段 包含 客户 端的 地 址 ,而 Client MAC address 字段 是 发 出 请 求 的 客户 端 中 网 卡 
的 物理 地 址 。DHCP Option 部 分 将 数据 包 标 识 为 ACK. 
如 图 10-10 所 示 ,客户 端 启 用 地 址 前 ,发送 ARP 请 求 ,检测 是 否 网 络 中 已 有 主机 使 用 了 
从 DHCP 服务 器 端 分 配 的 IP 地 址 ,如 果 没 有 主机 响应 这 个 ARP 请 求 , 则 正式 启用 这 个 IP 
地 址 。 
如 图 10-11 所 示 , 由 于 从 DHCP 服务 器 上 得 来 的 TP 地 址 有 个 租用 时 间 , 期 满 后 DHCP 
服务 器 便 会 收回 出 租 的 TP 地 址 。 如 果 要 继续 使 用 该 地 址 ,就 要 更 新 租约 ,DHCP 客户 端 在 
IP 租约 期 限 过 一 半 时 ,会 自动 向 DHCP 服务 器 发 送 DHCP request, 更 新 IP 租约 的 信息 。 
如 图 10-12 所 示 ,服务 器 同意 客户 端 继 续 使 用 该 IP 地 址 。 
接 下 来 看 看 .初始 时 设置 过 IP 地 址 10. 61. 19. 2. 然 后 启用 DHCP 来 获得 IP 地 址 时 的 
报 文 情况 。 
如 图 10-13 所 示 , 这 是 个 DHCP discover 报 文 .可 以 看 到 这 个 报 文中 option 中 有 个 字段 
requested IP address— 10. 61. 19. 2. 这 个 字段 是 客户 端 请 求 DHCP 服务 器 分 配 客户 端 曾经 
使 用 过 的 10. 61. 19.2 这 个 地 址 给 客户 端 。 
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Go Come Maye Saisies 


SA AOE) 


Message type: Boot Reply (2) 
Hardware type: Ethernet 
Hardware address length: 6 


Client IP address: 0.0.0.0 (0.0.0.0) 
Your (client) JP eddresar 10:61-39:43 CIO. 61:39-43) 
Next server IP address: 0.0.0.0 (0.0.0.0; 

0 


Server host name not given 
Boot file name not given 
Magic cookie: (Ok) 

DHCP Message Type = DHCP ACK 


Renewal Time Value = 30 seconds 
Rebinding Time Value = $2 seconds 


Opcode: request (0x0001) 
Sender MAC address: 00:04 
Sender IP addres: 

Target MAC address: 00 
Target IP address: 


图 10-10 


如 图 10-14 所 示 ,服务 器 端 分 配给 客户 端 一 个 新 的 IP 地 址 10. 61. 19. 151。 如 图 10-15 
所 示 ,客户 端 确 认 将 使 用 新 的 IP 地 址 10. 61. 19. 151 。 

如 图 10-16 所 示 ,DHCP 服务 器 用 DHCP ack 响应 DHCP request, 以 此 完成 初始 化 
周期 。 

如 图 10-17 所 示 ,随后 .客户 端 发 送 ARP 请 求 .以 确认 10. 61. 19. 151 是 否 有 人 使 用 。 
如 果 没 收 到 回应 , 则 正式 使 用 10. 61. 19. 151. 


10.61,19,43 


[E Frame 167 (342 bytes on wire, 342 bytes captured) 
[EB Ethernet II, Src: 00:04:23:60:05:10, Dst: 00:0f:17:67:98:3f 
B Internet Protocol, Src Addr: 10.61.19.43 (10.61.19.43), Dst Addr: 10.61.19.1 (10.61.19.1) 
lE User Datagram Protocol, Src Port: bootpc (68), Dst Port: bootps (67) 
日 Bootstrap Protocol 
Message type: Boot Request (1) 
Mardware type: Ethernet 
Hardware address length: 6 
Hops: 0 
Me 


Seconds elapsed: O 
E Bootp flags: 0x0000 (Unicast) 
Client IP address: 10.61.19.43 (10.61.19.43) 
Your (client) IP address: 0.0.0.0 (0.0.0.0) 
Next server IP address: 0.0.0.0 (0.0.0.0) 
Relay agent IP address: 0.0.0.0 (0.0.0.0) 
Client hardware address: 00:04:23:6f:05:10 
Server host name not given 
Boot file name not given 
Magic cookie: (Ok) 
Option 53: DHCP Message Type = DHCP Request 
Option 61: Client identifier 
Option 12: Host Name = "zjzucc 
Option 81: Client Fully Qualified Domain Name (10 bytes) 
Option 60: Vendor class identifier = “MSFT 5.0' 
日 option 55: Parameter Request List 
1 = Subnet Mask 
15 = Domain Name 
3 = Router 
6 = Domain Name Server 
4a = NetBIOS over TCP/IP Name Server 
46 。 NetBIOS over TCP/IP Node Type 
A7 。 NatRTOS over TD/TD Senne 


cames Hep 


[9] [5/2] Qala) PDX 


[E Frame 168 (342 bytes on wire, 342 bytes captured) 
EB Ethernet II, Sre: 00:0f:f7:67:98:3f, Dst: 00:04:23:6f:05:10 
|B Internet Protocol, Sre Addr: 10.61.19.1 (10.61.19.1), Dst Addr: 10.61.19.43 (10.61.19.43) 
[B User Datagram Protocol, Src Port: bootps (67), Dst Port: bootpc (68) 
E Bootstrap Protocol 

Message type: Boot Reply (2) 

Hardware type: Ethernet 

Hardware address length: 6 

Hops: 0 

Seconds elapsed: 0 

 Bootp flags: 0x0000 (Unicast) 

Client IP address: 10.61.19.43 (10.61.19.43) 

Your (client) IP address: 10.61.19.43 (10.61.19.43) 

Next server IP address: 0.0.0.0 (0.0.0.0) 

Relay agent IP address: 0.0.0.0 (0.0.0.0) 

Client hardware address: 00:04:23:6f:05:10 

Server host name not given 

Boot file name not given 

Magic cookie: (OK) 

Option 53: DHCP Message Type = DHCP ACK 

Option 54: Server Identifier « 10.61.19.1 

Option 

Option 

Option 59: Rebinding Time Value = 52 seconds 

Option 1: Subnet Mask = 255.255.255.0 

Option 6: Domain Name Server = 10.61.10.10 

Option 3: Router = 10.61.19.1 

End Option 

Padding 
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图 10-14 
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E Frame 213 (350 bytes on wire, 350 bytes captured) 

Bj Ethernet II, Src: 00:04:23 :6F 05:10, Dst: ff:ffiffiff. 
E Internet Protocol, Src Addr: 0.0.0.0 (0.0.0.0), Dst Addr: 255.255.255.255 (255.255.255.255) 
E User Datagram Protocol, Src Port: bootpc (68), Dst Port: bootps (67) 

Ej Bootstrap Protocol 


Hardware type: Ethernet 
Hardware address length: 6 
Hops: 0 
Transaction ID: Oxc56f965b 
Seconds elapsed: 1024 

B Bcotp flags: Ox8000 (Broadcast) 


Client IP address: 0.0.0.0 (0.0.0.0) 

Your (client) IP address: 0.0.0.0 (0.0.0.0) 
Next server IP address: 0.0.0.0 (0.0.0.0) 
Relay agent IP address: 0.0.0.0 (0.0.0.0) 
Client hardware address: 00:04:23 :6f:05:10 


Server host name not given 
Boot file name not given 
Magic cookie: (Ok) 
Option 53: DHCP Message Type = DHCP Request 
DOption 61: Client identifier 
Option 50: Requested IP Address = 10.61.19.151 
Option 54: Server Identifier = 10.61.19.1 
Option 12: Host Name = "zjzucc 
Option 61: Client Fully Qualified Domain Name (10 bytes) 
Option 60: Vendor class identifier = "MSFT 5.0" 
BOption 55: Parameter Request List 
End Option 


Hp 4 


Tm — — — — — | 


83838839] 
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BiFrame 216 (342 bytes on wire, 342 bytes captured) 

E Ethernet I, Src: 00:0f:f7:67:98:3f, Dst: ff:ff:ff :ff:ff:ff 

E Internet Protocol, Sre Addr: 10.61.19.1 (10.61.19.1), Dst Addr: 255.255.255.255 (255. 255.255.24 
User Datagram Protocol, Sre Port: bootps (67), Dst Port: bootpc (68) 


Message type: Boot Reply (2) 
Hardware type: Ethernet 
Hardware address length: 6 
Hops: 0 
Transaction ID: OxcS6f965b 
Seconds elapsed: 0 

E Bcotp flags: Ox8000 (Broadcast) 
Client IP address: 0.0.0.0 (0.0.0.0) 
Your (client) IP address: 10.61.19.151 (10.61.19.151) 
Next server IP address: 0.0.0.0 (0.0.0.0) 
Relay agent IP address: 0.0.0.0 (0.0.0.0) 
Client hardware address: 00:04:23 :6f:05:10 
Server host name not given 
Boot file name not given 
Magic cookie: (Ok) 
Option 53: DHCP Message Type = DHCP ACK 
Option 54: Server Identifier = 10.61.19.1 


Option P Address Lease Time = 1 minute 
Option 58: Renewal Time Value = 30 seconds 
Option 59: Rebinding Time Value = 52 seconds 
Option 1: Subnet Mask = 255.255.255.0 
Option 6: Domain Name Server = 10.61.10.10 
Option 3: Router - 10.61.19.1 
End Option 
Padding 

JE 
FF FF 00 43 00 44 01 34 54 ET 

4 


i 
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[B Frame 217 (60 bytes on wire, 60 bytes captured) 
Ethernet II, Src: 00:04:23 :6F 05:10, Dst: ff:ff:ff :ff:ff:ff 


Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 

Protocol size: 4 

Opcode: request (0x0001) 


Sender MAC address: 00:04:23:6f:05:10 (10.61.19.2) 


Sender IP address: 10. 
Target MAC address: 00 
Target IP address: 10. 


1 (10.61.19.151) 


TUTTI 00 04 23 ef 05 10 08 06 


| 


Resshaion Prtocei (rp) 38 byte jew | 


图 10-17 


如 果 服 务 器 端 分 配给 客户 端的 IP 地 址 ,客户 端 经 过 ARP 地 址 检测 ,发现 已 经 被 使 用 了 ， 
如 图 10-18 所 示 , 源 MAC 地 址 00:13:02:97:4a:83 发 送 ARP 地 址 广播 ,询问 10. 61. 19. 177 
这 个 地 址 是 否 有 人 使 用 。 如 图 10-19 所 示 , 源 地 址 00:13:02:2a:fa:53 向 目标 地 址 00:13: 
02:97:4a:83 发 送 了 ARP 回应 ,告诉 00:13:02:97:4a:83,IP 地 址 10. 61. 19. 177 正 被 
00:13:02:2a: fa: 53 使 用 。 随 后 ,客户 端 将 发 送 DHCP decline 报 文 ,如 图 10-20 所 示 ， 
00:13:02:97:4a:83 发 送 了 一 个 DHCP decline 广播 , 绝 接 受 服 务 器 DHCP offer 的 IP 地 址 
10. 61. 19. 177, 


SEAR 8 4/9] siszz| Qala] POEs S 
me Ar cession | Ce oe 
Ne. [me Youve [Gestion mea [ue = 

4| 


10.61.19.177 ARP 
Broadcast ARP. 


Broadcast ARP 


Protocol 
Hardware 


Protocol 
Opcode: request (Ox00Q1) 


Target MAC address 
Target IP address. 
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[I Frame 9 (42 byzes on wire, 42 bytes captured) 
B Ethernet II, Sre: 00:13:02:2::fa:5, Dst: O0:13:02:97:4a:83 


Hardware type 
Protocol type 
Hardware size 
Protocol size: 4 

Opcode: rep'y (0x0002) 

Sender MAC address: 00:13:02:2a:fa:53 (00:13:02:2a:fa:53) 
Sender IP address: 10.61.19.177 (10.61.19.177) 

Target MAC address: 00:13:02:97:4a:83 (10.61.19.177) 
Target IP address: 10.61.19.177 (10.61.19.177) 


Ethernet (0x0001) 
IP (0x0800) 
5 


00-13 02 97 4a 63 00 13 Fa 53 08 06 


10 
20 
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图 10-19 
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3 0.003679 2 DHCP Request - Transa 
2 DHCP ACK | Transac 
20 10.294330 0.0.0. 255.255.255.255 DHCP Discover ~ Transat 
23 12.355182 — 10.61.19. 10.61.19.178 DMCP Offer ^ - Transas 
24 12.355677 — 0.0.0. 255.255.255.255 DHCP Request - Transac 


iFrame 10 (342 bytes on wire. 342 bytes captured) 
EB Ethernet II, src: 00:13:02:97:4a:83, ost: fi 
E Internet Protocol, src addr: 0.0.0.0 (0.0.0.0), Ost Addr 255 (25.255.255. 
muser Datagram Protocol, src Port: bootpc (68), Ost Port: bootps 
E Boot strap Protocol 

Message type: Boot Request (1) 

Hardware type: Ethernet 

Hardware address length: 6 

Hops: 0 

Transaction 10: 

Seconds elapsed: 0 

加 Boorp flags: 0x0000 (unicast) 

Client IP address: 10.61.19.17 

Your (client) IP address: 0.0 

Next server IP address: 

Relay agent IP address 

Client Mac address: 00:13 

Server host name not given 

Boot file name not given 

Magic cookie: (OK) 

Opt Ton 33 Ne 


Option 50: Requested IP Address = 10.61.19.177 
Option 54: Server Identifier = 10.61.19.1 

End option 

Padding 


90 00 00 3007 oF 
00 13 02 04 0a 3d 
13 o fF 00 00 00 00 00 00 00 00 
90 00 00 00 00 00 00 00 00 00 00 
90 00 00 


图 10-20 
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随后 ,客户 端 发 送 DHCP discover 开始 一 个 新 的 申请 IP 地 址 的 流程 ,如 图 10-21 所 示 。 


re 


es 
| Ethernet Ir, sre: 00:13:0: , Ost: FF SAFER SEF SFR 
IJ Internet Protocol, sec Addr: 0.0.0.9 (0.0.0.0), Dst Addr: 255.255.255.255 (255.255.255.255) 
gram Protocol, Sre Fort: beotpc (68), Dst Port: bootos (67) 
1 


Hops: 0 
Transaction ID: Ox7b691a03 
Seconds elapsed: O 

回 bootp flags: 0x0000 (Unicast) 
Client IP address: 0.0.0. 
Your (client) IP addres 


Server host name not given 
Boot file name not given 
Magic cookie: (OK) 
Option 53: DHCP Message Type = DHCP Discover 
Option 116: DHCP Auto-Configuration (1 bytes) 
Option 61: Client identifier 
Hardware type: Ethernet 


通过 前 面 的 截图 ,可 以 看 见 .DHCP 报 文 用 UDP 承载 ,客户 端 使 用 UDP 68 端口 ,服务 
器 端 使 用 UDP 67 端口 。 
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